API NEWS | API内外部管理之间有何不同？

本周，我们带来的分享如下：

• 两个API漏洞：Wavlink WL-WN531P3路由器的控制API中存在命令注入漏洞；

• 南非一家安全监管机构的网站存在API漏洞；

• 对内部和外部API的管理的见解；

• AWS上新Lambda Function URLs如何快速实现API开发。

近期的第一个漏洞是Wavlink WL-WN531P3路由器的一个内部API中的命令注入漏洞。某安全研究员发现，路由器UI使用一个内部管理接口/cgi-bin/adm.cgi来执行任意命令。糟糕的是，这个端点存好几个脆弱面：

• 终端没有强制认证- API2:2019的一个例子-失效的认证。

• 该端点也缺乏针对跨站请求伪造（CSRF）的保护措施，因此路由器易受到本地网络以外的攻击。

• 最重要的是，终端很容易受到操作系统命令注入攻击，允许攻击者在路由器上执行任意命令。

研究人员通过继续使用Burp Suite发现会话cookie可以被删除，可通过设置pingIp参数注入任意命令。

该漏洞编号为CVE-2022-23900。在本文撰写之时，尚未发布可用补丁或其他产品更新细节。

近期的第二个漏洞是web API认证被破坏的另一个例子，该漏洞影响了南非一家私人安全监管机构的网站。

当地新闻网站MyBroadband发现了该漏洞，随后联系了网站负责人，后者迅速采取行动关闭了该漏洞。暂无证据表明有攻击者利用该漏洞泄露信息。

关键是要注意后端web API，因为它们很容易被发现，同时还要确保对所有公开的API强制实施健壮的认证。

API社区中一个常见的争议话题是“仅面向内部”的API的概念，以及是否应该将其与外部或公共API区别开。本周，我们对两种API的不同之处发表一些见解。

• 发布和发现

• 安全和访问控制

• 策略实施

• 性能测试

• 监控和指标跟踪

• 启用/退役过程

相信大家更想了解关于安全、访问控制和策略实施的见解。最重要的一点是，内部API也应具备适当的API安全措施和控制：内部API是面向内部的这一事实并不意味着它们对攻击免疫，或者将来不会被暴露在外部。但是，应优先考虑保护外部API，因为这些API最容易被恶意攻击者访问。外部API通常需要更具体的访问控制策略（通常是速率和配额限制）来减少外部用户的滥用或误用，而内部API的访问控制可能较为宽松，因为面向的用户更容易控制。

最后，我们将介绍最近AWS平台上引入的Lambda Functions url。这些特别旨在加快API的开发工作，且不需要复杂的API网关。新特性允许API开发人员通过指定端点URL、选择授权类型（AWS_IAM或none）和指定支持Lambda功能（语言和架构）的细节来创建API，如下图所示：

• 如何建立API清单，进行API管理和跟踪？

• 如何从安全角度测试这些API ?

• 如何使用标准库和模式授权代码？若每个Lambda都必须实施相同的方法，就会存在代码重复率过高的风险。

如何在这些API应用之前纳入运行时保护（API防火墙或WAAP）？如此一来，安全完全依赖于Lambda代码的支持及完整性。

无服务器的发展可能会推动新的API部署架构，比如这些Lambda Function url。然而，一个精明的安全团队应该要考虑到所有的新风险向量。

感谢 APIsecurity.io 提供相关内容