欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
本周,我们带来的分享如下:
-
Zulip中的存在的API漏洞
-
关于破坏访问控制对API的威胁
-
关于破坏对象级别授权漏洞的快速阅读
-
云安全联盟关于 API 安全最佳实践的指南
Zulip Server 中的提权漏洞
安全研究人员披露了 Zulip Server API 中一个漏洞,出现漏洞的根本原因是 Zulip Server 中的授权检查不正确。该漏洞被称为CVE-2022-31168,影响 Zulip Server 的所有版本,最高为 5.4。建议用户立即升级到 5.5 版本。
Zulip 是一个开源的团队聊天工具。由于 Zulip Server 5.4 及更早版本中的授权检查不正确,组织成员可以制作一个 API 调用,将组织管理员权限授予其机器人之一。该漏洞已在 Zulip Server 5.5 中修复。作为该漏洞的解决方法,组织管理员可以将“谁可以创建机器人”权限仅限于管理员,并更改现有机器人的所有权。
损坏的访问控制对 API 的威胁
本周,PortSwigger 发布了一篇文章,涵盖了损坏的访问控制(就像上面的漏洞一样)对 API 造成的风险。
根据该报告,2022 年第一季度发生了多达 48 个与 API 相关的漏洞。其中,18 人被评为高风险,19 人被评为中等严重程度。该报告还强调了对 API 进行基于注入的攻击的风险。
文章重点介绍了 2022 年以来两个备受瞩目的 API 漏洞:
• 第一个漏洞是众所周知的Log4Shell漏洞,攻击者可以通过该漏洞注入代码有效负载以允许在 Spring Framework Core 模块中执行远程代码执行 (RCE)。
• 第二个漏洞与 Veeam 备份解决方案中的身份验证损坏有关,该漏洞还允许攻击者远程执行代码。
感兴趣的小伙伴可以点击文末“阅读原文”
阅读文章全部内容
被破坏的对象级授权简介
同样众所周知的API1:2019 — 被破坏的对象级授权(BOLA/IDOR) 漏洞在 OWASP API 安全前 10 名中名列前茅。本周我们为 API 安全主题的新手分享一个指南。
使用 BOLA,端点允许给定用户访问实际上不属于该用户的对象(即数据)。此漏洞的根本原因是 API 后端未能验证请求客户端是否确实有权访问指定对象。
通常,攻击者获得对 API 的身份验证,然后通过尝试操纵对象标识符来探测不良的API 。正如大家清楚的那样,BOLA 在现实世界的攻击中经常被利用——一个很好的例子就是最近在Coinbase 交易平台上的高调披露。
文章最后提出了关于防御措施的建议:
• 始终在所有端点上完全实施授权。
• 永远不要相信用户输入,因为这是攻击者试图操纵目标对象的方式。
• 使用高熵(随机且不可预测)的用户 ID 可以阻止攻击者猜测用户 ID 的尝试。
• 使用中央授权框架或实施点来验证用户对所请求资源的访问权限。
• 确保针对 BOLA 弱点测试你的 API。
云安全联盟的 API 安全最佳实践
云安全联盟 (CSA) 有许多关于提高云安全性的优秀出版物。API 安全最佳实践指南就是其中之一,值得学习。
他们的第一个建议是对所有 API 进行风险评估,从而衡量它们会对你的业务带来哪些风险。这是一个非常的建议——将努力应用于低风险 API 会消耗资源,并使开发和 IT 团队感到沮丧。首先关注风险最高的 API。
指南提供了 API 生命周期所有阶段的综合清单:
• 设计
• 开发
• 测试
• 执行
• 记录和监控
该指南列出了这五个阶段的 39 项不同检查——绝对值得将一些检查集成到你的 API 生命周期中。
感谢 APIsecurity.io 提供相关内容
关于星阑
星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。
星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。
往期 · 推荐
原文始发于微信公众号(星阑科技):API NEWS | 关于Zulip Server API中的提权漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论