API NEWS | 关于Plesk支持API实例中的CSRF漏洞

admin 2022年11月26日21:20:44安全文章评论6 views1702字阅读5分40秒阅读模式

API NEWS | 关于Plesk支持API实例中的CSRF漏洞

欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。

本周,我们带来的分享如下:

  • 流行的服务器管理门户Plesk支持API的实例中的客户端请求伪造(CSRF)漏洞

  • 关于前五名API安全神话


支持Plesk API的服务器中的CSRF

本周首先打破了我们在FORTBRIDGE的朋友的研究,该研究在流行的服务器管理工具Plesk的REST API中发现了CSRF漏洞。Plesk被广泛用作网络托管和数据中心提供商的管理前端,并且通常针对安全漏洞进行了强化和修补。

API NEWS | 关于Plesk支持API实例中的CSRF漏洞

在最近的一个客户端项目中,Adrian Tiron(FORTBRIDGE的管理合伙人)注意到,当从Web接口客户端调用后端REST API时,对CSRF没有防御。基本上,CSRF攻击允许攻击者劫持服务器上的现有客户端会话来执行其他操作。通常,对此的辩护是包括请求独有的CSRF令牌。

在这种情况下,Tiron发现,如果攻击者可以引诱Plesk管理员访问恶意网站(例如通过点击劫持类型攻击),攻击者可以对Plesk服务器发起攻击。REST API中的一个特定端点支持杂项命令,包括重置管理员密码的选项。鉴于Plesk通常以高特权管理服务器,这种妥协可能会产生重大影响,例如允许任意文件上传和完全接管主机服务器等各种严重攻击。


FORTBRIDGE负责任地向Plesk披露了这一漏洞,Plesk迅速响应解决了问题。在撰写本文时,Plesk报告称,89.4%的Plesk服务器已经自动更新。

对于开发人员来说,关键的要点是确保所有更改服务器状态的POST请求都实现了CSRF缓解。CSRF防御的两个标准模式是同步器令牌模式或双提交cookie模式。


前五大API安全神话


API安全是一个庞大、庞大的话题,有许多不同的观点和观点,并且经常被可能导致严重风险的误解所困扰。本周,黑客新闻介绍了他们自己对围绕API安全性的前五个神话的看法。

API NEWS | 关于Plesk支持API实例中的CSRF漏洞


简要总结如下:

• API网关、现有的IAM工具和WAF足以保护API:这可能是我在与安全团队讨论时最常遇到的误解。现在所有的安全工具在降低API暴露的风险方面都具有价值。然而,许多遗留工具无法完成保护API的任务,许多API漏洞无法通过使用工具来防止。适当的威胁评估、可靠的设计、防御性编码和适当的测试与工具一样重要。

• API安全性很简单:API安全是一项具有挑战性的任务,攻击者几乎总是领先一步。

• 开发人员总是将安全性融入到API:虽然开发人员越来越意识到需要尽早将安全性纳入他们的代码,但他们面临着各种其他需求和限制,如性能、功能或交付。安全并不总是他们的首要任务。

• 默认情况下,云提供商保护API:云的一大承诺是“默认情况下是安全的”,云提供商处理大多数安全考虑。云提供商采用的共享安全模型非常明确地规定,应用程序和数据安全的责任都由最终用户承担。

• 零信任足以保护API:API安全没有灵丹妙药。虽然零信任是一种有价值的方法,但它只是大局的一部分。

作者在本文中提出了一些有用的观察——API安全是一项多方面的事业,最好的方法是具有深度防御的分层方法。


感谢 APIsecurity.io 提供相关内容


关于星阑



星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。

星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。



往期 · 推荐



API NEWS | 关于Plesk支持API实例中的CSRF漏洞

API NEWS | 关于Plesk支持API实例中的CSRF漏洞

API NEWS | 关于Plesk支持API实例中的CSRF漏洞

API NEWS | 关于Plesk支持API实例中的CSRF漏洞


API NEWS | 关于Plesk支持API实例中的CSRF漏洞

原文始发于微信公众号(星阑科技):API NEWS | 关于Plesk支持API实例中的CSRF漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月26日21:20:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  API NEWS | 关于Plesk支持API实例中的CSRF漏洞 http://cn-sec.com/archives/1421120.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: