欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
本周,我们带来的分享如下:
-
流行的服务器管理门户Plesk支持API的实例中的客户端请求伪造(CSRF)漏洞
-
关于前五名API安全神话
支持Plesk API的服务器中的CSRF
本周首先打破了我们在FORTBRIDGE的朋友的研究,该研究在流行的服务器管理工具Plesk的REST API中发现了CSRF漏洞。Plesk被广泛用作网络托管和数据中心提供商的管理前端,并且通常针对安全漏洞进行了强化和修补。
在最近的一个客户端项目中,Adrian Tiron(FORTBRIDGE的管理合伙人)注意到,当从Web接口客户端调用后端REST API时,对CSRF没有防御。基本上,CSRF攻击允许攻击者劫持服务器上的现有客户端会话来执行其他操作。通常,对此的辩护是包括请求独有的CSRF令牌。
在这种情况下,Tiron发现,如果攻击者可以引诱Plesk管理员访问恶意网站(例如通过点击劫持类型攻击),攻击者可以对Plesk服务器发起攻击。REST API中的一个特定端点支持杂项命令,包括重置管理员密码的选项。鉴于Plesk通常以高特权管理服务器,这种妥协可能会产生重大影响,例如允许任意文件上传和完全接管主机服务器等各种严重攻击。
FORTBRIDGE负责任地向Plesk披露了这一漏洞,Plesk迅速响应解决了问题。在撰写本文时,Plesk报告称,89.4%的Plesk服务器已经自动更新。
对于开发人员来说,关键的要点是确保所有更改服务器状态的POST请求都实现了CSRF缓解。CSRF防御的两个标准模式是同步器令牌模式或双提交cookie模式。
前五大API安全神话
API安全是一个庞大、庞大的话题,有许多不同的观点和观点,并且经常被可能导致严重风险的误解所困扰。本周,黑客新闻介绍了他们自己对围绕API安全性的前五个神话的看法。
简要总结如下:
• API网关、现有的IAM工具和WAF足以保护API:这可能是我在与安全团队讨论时最常遇到的误解。现在所有的安全工具在降低API暴露的风险方面都具有价值。然而,许多遗留工具无法完成保护API的任务,许多API漏洞无法通过使用工具来防止。适当的威胁评估、可靠的设计、防御性编码和适当的测试与工具一样重要。
• API安全性很简单:API安全是一项具有挑战性的任务,攻击者几乎总是领先一步。
• 开发人员总是将安全性融入到API:虽然开发人员越来越意识到需要尽早将安全性纳入他们的代码,但他们面临着各种其他需求和限制,如性能、功能或交付。安全并不总是他们的首要任务。
• 默认情况下,云提供商保护API:云的一大承诺是“默认情况下是安全的”,云提供商处理大多数安全考虑。云提供商采用的共享安全模型非常明确地规定,应用程序和数据安全的责任都由最终用户承担。
• 零信任足以保护API:API安全没有灵丹妙药。虽然零信任是一种有价值的方法,但它只是大局的一部分。
作者在本文中提出了一些有用的观察——API安全是一项多方面的事业,最好的方法是具有深度防御的分层方法。
感谢 APIsecurity.io 提供相关内容
关于星阑
星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。
星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。
往期 · 推荐
原文始发于微信公众号(星阑科技):API NEWS | 关于Plesk支持API实例中的CSRF漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论