API NEWS | API内外部管理之间有何不同?

admin 2022年5月16日09:59:04企业安全评论13 views2430字阅读8分6秒阅读模式

API NEWS | API内外部管理之间有何不同?


欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。

本周,我们带来的分享如下:

  • 两个API漏洞:Wavlink WL-WN531P3路由器的控制API中存在命令注入漏洞

  • 南非一家安全监管机构的网站存在API漏洞;

  • 对内部和外部API的管理的见解;

  • AWS上新Lambda Function URLs如何快速实现API开发。


Wavlink WL-WN531P3路由器存在命令注入漏洞


近期的第一个漏洞是Wavlink WL-WN531P3路由器的一个内部API中的命令注入漏洞。某安全研究员发现,路由器UI使用一个内部管理接口/cgi-bin/adm.cgi来执行任意命令。糟糕的是,这个端点存好几个脆弱面:


• 终端没有强制认证- API2:2019的一个例子-失效的认证。

• 该端点也缺乏针对跨站请求伪造(CSRF)的保护措施,因此路由器易受到本地网络以外的攻击。

• 最重要的是,终端很容易受到操作系统命令注入攻击,允许攻击者在路由器上执行任意命令。


该漏洞最初是通过用户界面发现的,用户界面提供了对用户提供的IP地址执行ping命令的诊断功能。通过操纵IP地址加载恶意负载,如;ls,研究人员观察到路由器的响应包含一个目录列表。这意味着路由器将用户输入与ping命令连接了起来,执行一个具有潜在危险的命令,如ping;ls。这是物联网设备上常见的命令注入漏洞的一个经典示例。

研究人员通过继续使用Burp Suite发现会话cookie可以被删除,可通过设置pingIp参数注入任意命令。

API NEWS | API内外部管理之间有何不同?


该漏洞编号为CVE-2022-23900。在本文撰写之时,尚未发布可用补丁或其他产品更新细节。



API暴露系统密码


近期的第二个漏洞是web API认证被破坏的另一个例子,该漏洞影响了南非一家私人安全监管机构的网站。

该漏洞影响到一个API端点,该端点允许攻击者下载包含了管理用户的敏感信息(包括PII和密码)的单个XML文件。该端点不存在任何形式的身份验证,允许对该数据进行完全匿名的访问。另一个问题是,需要输入密码的验证非常脆弱,密码很容易被猜出。


当地新闻网站MyBroadband发现了该漏洞,随后联系了网站负责人,后者迅速采取行动关闭了该漏洞。暂无证据表明有攻击者利用该漏洞泄露信息。


关键是要注意后端web API,因为它们很容易被发现,同时还要确保对所有公开的API强制实施健壮的认证。


内部和外部API的管理


API社区中一个常见的争议话题是“仅面向内部”的API的概念,以及是否应该将其与外部或公共API区别开。本周,我们对两种API的不同之处发表一些见解。

内部API最常用于以标准方式互连内部后端系统,以避免大量定制集成工作,这些API通常被称为东西向API。外部API旨在向客户和API消费者或第三方(如合作伙伴)公开,通常称为南北向API。


作者强调了内部和外部API管理之间的六个不同之处

• 发布和发现

• 安全和访问控制

• 策略实施

• 性能测试

• 监控和指标跟踪

• 启用/退役过程


相信大家更想了解关于安全、访问控制和策略实施的见解。最重要的一点是,内部API也应具备适当的API安全措施和控制:内部API是面向内部的这一事实并不意味着它们对攻击免疫,或者将来不会被暴露在外部。但是,应优先考虑保护外部API,因为这些API最容易被恶意攻击者访问。外部API通常需要更具体的访问控制策略(通常是速率和配额限制)来减少外部用户的滥用或误用,而内部API的访问控制可能较为宽松,因为面向的用户更容易控制。



AWS上的新Lambda Function url


最后,我们将介绍最近AWS平台上引入的Lambda Functions url。这些特别旨在加快API的开发工作,且不需要复杂的API网关。新特性允许API开发人员通过指定端点URL、选择授权类型(AWS_IAM或none)和指定支持Lambda功能(语言和架构)的细节来创建API,如下图所示:

API NEWS | API内外部管理之间有何不同?


如果终端不使用IAM授权,用户必须通过Lambda代码实现授权。Lambda代码支持JWT(JSON Web Token)、OIDC (OpenID Connect)、OAuth2等授权方式。还可以通过配置跨源资源共享(CORS)来控制来自其他服务器的HTTP访问。


尽管这对API开发人员来说可能是一个福音,但通过也造成了一些新的安全挑战,比如:


• 如何建立API清单,进行API管理和跟踪?

• 如何从安全角度测试这些API ?

• 如何使用标准库和模式授权代码?若每个Lambda都必须实施相同的方法,就会存在代码重复率过高的风险。


如何在这些API应用之前纳入运行时保护(API防火墙或WAAP)?如此一来,安全完全依赖于Lambda代码的支持及完整性。

无服务器的发展可能会推动新的API部署架构,比如这些Lambda Function url。然而,一个精明的安全团队应该要考虑到所有的新风险向量。


感谢 APIsecurity.io 提供相关内容


关于星阑



星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。

星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。


往期 · 推荐

API NEWS | API内外部管理之间有何不同?

API NEWS | API内外部管理之间有何不同?

API NEWS | API内外部管理之间有何不同?

API NEWS | API内外部管理之间有何不同?

API NEWS | API内外部管理之间有何不同?

原文始发于微信公众号(星阑科技):API NEWS | API内外部管理之间有何不同?

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月16日09:59:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  API NEWS | API内外部管理之间有何不同? http://cn-sec.com/archives/946100.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: