API NEWS | 关于Spring 框架存在的Spring4Shell 0day漏洞

本周，我们带来的分享如下：

• 关注两个新漏洞：Spring 框架中先后出现Spring4Shell 0day 漏洞和Log4Shell漏洞；

• CRI-O容器运行时中的一个漏洞允许攻击者访问主机；

• REST API安全性指南；

• 为何在应用了API网关的前提下，API安全还是必不可少；

2021年12月log4shell漏洞出现之后，接着又出现了另一个shell漏洞——这一次受影响的组件是Spring框架中基于java的Core模块。该漏洞被称为Spring4Shell/Springshell，它允许未经身份验证的攻击者在目标系统上触发远程代码执行(RCE)。该漏洞最初由一名研究人员所发现，他发布了一些利用代码的样本，现已删除。

42Crunch对该漏洞进行了深入报道，展示了积极的安全模型对于减少此类高危0day漏洞的好处。

本周的第二个漏洞是Kubernetes安装中常用的CRI-O容器运行时。CrowdStrike的研究人员发现，该漏洞允许恶意用户获得对底层主机的root访问权，在CVSS评分系统的评分为8.8。该漏洞已修补，用户应尽快升级系统。

这一漏洞是及时警醒了一点——确保加固模式和指导方针应用于复杂的系统，如Kubernetes。

• API安全概述

• API安全基础

• 安全的API生命周期

• 常见的API攻击（和防御）方法

• 常见漏洞

• API安全最佳实践

点击文末“阅读原文”可查看文章全部内容

最后，Security Boulevard提出观点：除了已经部署的API网关外，还需专门的API安全解决方案——深度防御是全面API安全的最佳策略。

• 用于控制API的内联代理

• 通过凭证和令牌验证验证与请求关联的身份

• 将API调用路由到前端端点和后端服务

• 通过使用速率限制和限流的API度量流量

• 额外的日志记录和监控。

这本优秀读物介绍了积极安全模型的好处和深度防御方法的价值。

感谢 APIsecurity.io 提供相关内容