欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
本周,我们带来的分享如下:
-
Zendesk Explore API中的SQL注入漏洞
-
Twitter API漏洞泄露了540万用户数据
-
API攻击对数据驱动企业构成的威胁
-
关于金融服务API攻击增加257%的报告
Zendesk Explore API中的SQL注入漏洞
近期,Varonis Threat Labs报告了影响了他们的Explore组件的两个漏洞。第一个是SQL注入漏洞,它允许攻击者向底层数据库注入任意命令。第二个涉及API端点中的漏洞,该漏洞提供了执行查询功能来修改平台文档。由于实现中的弱点,研究人员发现API端点没有验证API调用者有权访问指定的数据记录,并且可以修改查询以从其他数据库表中提取任意数据。
研究人员报告称,这些缺陷本可以让对手访问Zendesk核心,并泄露对话、电子邮件地址、门票、评论和其他信息。此后,Zendesk修复了漏洞,研究人员已经确认这些漏洞不再可用。
这与API1:2019有些相似——损坏的对象级授权——在这种情况下,API无法验证调用者有权访问指定的表或执行提供的查询。
Twitter API漏洞泄露了540万用户数据
最近推特公布的数据泄露的细节中提到,此次数据泄露影响了多达540万用户。据了解,这次攻击发生在2021年12月。据隐私倡导者和研究人员称,被盗帐户详细信息仍然可以在线销售。
这种漏洞暴露了动机攻击很容易使用相对良性的缺陷来收集大量有价值的数据,用于随后的定向攻击。在这种情况下,攻击者瞄准了Twitter登录API端点,并使用公开的电子邮件列表随机化了提交的电子邮件。API会出现总是会返回失败的情况。然而,攻击者感兴趣的是返回的响应主体,如果提交了有效的电子邮件,API将返回失败代码,但在回复中,它还返回了与帐户关联的电子邮件地址和电话号码。因此,通过猜测电子邮件地址,攻击者可以让Twitter确认它们与有效的Twitter帐户相关联。
Twitter于今年8月确认了违规行为,并对该漏洞进行了补救。虽然帐户的存在本身并不代表用户的风险,但它允许攻击者通过网络钓鱼攻击或社交攻击来攻击用户。
从API安全的角度来看,这里可能有两个问题,即:
• API3:2019 — 过度数据暴露:在这种情况下,API端点不应该返回电子邮件或电话号码等可识别数据。
• API7:2019 — 安全配置错误:避免在操作失败时泄露有用信息。现有电子邮件与不存在的电子邮件的响应机构足以为攻击者提供他需要的结果。
API攻击对数据驱动企业构成的威胁
组织内数据交换主要来源于API,因此数据驱动的企业的API通常面临风险。由于其公共性质,API对攻击者来说是一个相对容易的目标。将其与API暴露的数据相对较高的价值相结合,导致对API的威胁越来越大。
导致API不安全的三个主要原因:
对金融服务API的攻击增加了257%
近期,Akamai Technologies对网络应用程序和API攻击金融服务机构的流行率进行了研究。他们的报告得出结论,金融服务机构攻击的发生率增加了高达257%,分布式拒绝服务攻击增加了20%。
报告指出,造成这一趋势的两个主要原因:
首先,攻击面增长迅速,为攻击者提供了更多机会;
其次,组织缺乏保护其重要资产的必要技能。
他们还表示,API攻击易于自动化是导致基于API攻击增加的主要因素。
感谢 APIsecurity.io 提供相关内容
关于星阑
星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。
星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。
往期 · 推荐
原文始发于微信公众号(星阑科技):API NEWS | Twitter API漏洞泄露了540万用户数据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论