API NEWS | 新的API会危及安全性吗？

本周，我们带来的分享如下：

• 调度平台Easy! Appointments允许未经授权访问；

• 《API的增长是否会损害安全》；

• 《API流量可视性如何成为API安全性的关键》；

•  关于通过锁定API以提高安全性的基本技巧。

根据The Daily Swig的消息，开源调度平台Easy！Appointments存在一个API漏洞。该漏洞由安全研究员Francesco Carlucci所披露，编号为CVE-2022-048, CVSS评分为9.1。

Carlucci还评论道，Easy!Appointments使用的是PHP框架CodeIgniter，该框架缺乏对API端点身份验证的内置支持，这迫使用户实现自己的身份验证。糟糕的是，这一点在开发过程中很容易被忽略，本案例中就是如此。最佳解决措施是使用标准的身份验证中间件，如Laravel这样的框架提供的身份验证中间件。

Carlucci向bug奖励平台Huntr提交了这一发现，同时也提交给了应用程序开发者。3月8日，平台发布了补丁版本v1.4.3，建议用户进行更新，或使用开发人员提供的补丁脚本。

企业面临的一个老难题是，如何平衡由创新驱动的业务敏捷性和这种快节奏的创新可能带来的安全风险。这一点在API中体现得最为明显，正如本周的第一篇文章中所讨论的那样。

• 尽管解决API漏洞（如OWASP API安全top10）很重要，但也应该关注业务逻辑中的缺陷。

• 维护准确和最新的API清单是理解组织风险概况的关键。

• API可能会被恶意的参与者误用或滥用，比如在数据挖掘或抓取中——仅仅通过查找缺陷防止直接入侵是不够的。

• 要警惕合作伙伴或第三方组织中的恶意人员，他们可以不受限制地访问您的API。

接下来，我们将快速了解一下东西向和南北向的API流量可见性的重要性。传统看来，CISO侧重南北流量（连接到第三方和外部系统的流量），倾向于忽略东西流量（连接内部系统的内部流量）。

作者建议，传统的基于网络和端点保护的指令/控制、侦察、横向移动和渗透等安全技术不适用于API安全。API允许将系统直接暴露给客户端，而不受传统网络和端点保护的影响。API安全解决方案应该涵盖所有方位的流量监控，适当地避免API威胁。

点击文末“阅读原文”可查看文章全部内容

最后，我们来看一篇简短的文章，文章介绍了如何通过锁定API来提高API安全性，既简单又实用。

• 危险的狭隘的API安全观点：API安全的定义不止是纯粹地减少漏洞，而应该更加广泛，包括滥用和误用情况以及复杂的业务逻辑缺陷。

• API泄露的威胁呈指数级增长：由于API的互联特性，泄露的风险呈指数级增长。一个API中的漏洞可能会暴露多个连接的系统。

• 在不断变化的环境中盲目前进：缺乏准确的API清单，很难管理风险。

• 传统工具的API安全功能有限：传统工具，如WAFs和SAST/DAST，通常无法很好地与API兼容。

• 所有权不明：API的开发涉及多个团队，这造成了谁最终负责API安全的混乱。

感谢 APIsecurity.io 提供相关内容