欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
本周,我们带来的分享如下:
• DPD的包裹跟踪门户网站可能暴露了客户数据
• Apache Pulsar存在API缺陷,允许访问不同租户的数据
• Casdoor API中的SQL注入漏洞
• API行业的新兴趋势
漏洞分析
DPD包裹追踪漏洞可能导致客户数据外泄
近期的重大新闻:DPG Group的包裹跟踪门户网站出现一个漏洞,该漏洞可能已暴露了客户数据。
该漏洞是Pen Test Partners于2021年9月发现的,他们与DPD Group合作,对该漏洞进行了评估和分类。DPD集团在2021年10月解决了这一漏洞问题,并宣布在明年公布细节,以便有时间进行全面审查。
包裹跟踪提供了一个API调用,它接受英国邮政编码和包裹跟踪代码,通过OpenStreetMap返回收件人地址的PNG图像。该漏洞的第一阶段是,攻击者可以发布一个随机的包裹代码来检索如下所示的图像:
通过对收到的地图图像进行初步分析,研究人员确定了收件人的具体邮编。然后,可以通过提供邮政编码与包裹编码检索详细的投递信息,包括PII信息。
若要成功发起攻击,需要猜测一个活跃的、有效的包裹代码,并手动推断确切的邮政编码且进行验证。然而,鉴于PII披露的有价值的信息,DPD集团将这次攻击评为高危,并迅速做出了补救措施。
案例经验:
• 小心API3:2019 ——过度数据泄露——出于跟踪目的,不需要返回客户的完整PII记录。
• 缺乏速率限制(API 4:2019 ——缺乏资源和速率限制)允许使用随机包裹号进行自动攻击。确保实施针对bot或脚本攻击的保护。
漏洞分析
Apache Pulsar管理API漏洞
本周第二个漏洞来自热门Apache Pulsar平台管理API中的一个缺陷。
管理API要求客户端提交一个主题和与所提供的主题相关联的分类帐户ID。API实现确实检查了客户端授权,但遗憾的是,它没有检查分类帐户ID的授权。这可能允许攻击者为其他租户的数据提供分类账户ID,而这些租户并未经过授权。
此漏洞影响了Apache Pulsar 2.8.0及之前版本。如果您使用的是受影响的版本,请尽快升级到已修复的版本。
这个漏洞是API1:2019—失效的对象级授权的一个例子,也可能属于API5:2019—失效的函数级授权。
漏洞分析
Casdoor API中的SQL注入漏洞
第三个漏洞是Casdoor单点登录平台中的漏洞。该漏洞被跟踪为CVE-2022-24124,由安全研究员@wuhan005发现,详细内容在GitHub相关存储库的GitHub issue中。
研究人员发现,端点/API/get-organization很容易通过检查底层代码受到SQL注入的攻击:
这属于API8:2019——注入漏洞。此外,今年正值SQL注入攻击20周年!
观点分享
API行业新趋势
本周Bill Doerrfeld和Steve Rodda(Stoplight的CEO)进行了一次讨论。尽管他们讨论了API主题较为广泛,但他们强调了对API安全性的需求。
Doerrfeld和Rodda指出了常见安全问题:
• 授权失败
• 过度的数据暴露
• 仅供私人或内部使用的端点遭到公开
• 安全配置错误
感谢 APIsecurity.io 提供相关内容
关于星阑
星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。
星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。
往期 · 推荐
原文始发于微信公众号(星阑科技):API NEWS | 三个国际最近API安全漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论