API NEWS | ​API是Optus数据泄露的根源

本周，我们带来的分享如下：

• API是导致Optus巨大数据泄露的根本原因

• API 安全指南

• 身份验证和授权漏洞
  

• Docker REST API 暴露带来的风险

过去两周一个重大新闻是关于澳大利亚电信公司Optus的数据泄露。其中，超过210万Optus账户持有人，都最少有一种形式的身份证件被暴露，至少有15万本护照和5万个医疗保险号码被盗。尽管完整的详细信息尚不清楚，但初始报告表明，出现问题的根本是未经身份验证的 API 端点导致的。

与通常出现的情况一样，违规行为不是由于使用高级方法的超级复杂攻击者的行为 - 任何有能力执行API的人都能够执行攻击。

• 该API没有速率限制，允许攻击者泄露大量数据。

• 显而易见该 API 在部署之前从未进行过渗透测试。

• 最令人惊讶的是，API似乎未经身份验证 - API2：2019的一个相当严重的案例 - 身份验证中断。

• Optus似乎没有根据敏感度对其数据进行分类，也没有实施任何合理的数据保留政策。

• Optus也没有对机密信息使用任何形式的数据掩码。

• 没有主动监控Optus网络和端点用来检测恶意活动。

本周是来自 Ben Eaton 的精彩指南。

伊顿就 API 安全性与 Web 应用程序安全性的不同之处进行了讨论，以及为什么您的工具和方法可能不适合 API 安全性。

• 传统的网络边界主要受到API的侵蚀，网络控制不再提供相同级别的保护。

• 对于 Web 应用程序，客户端使用 WaF 可以验证的 Web 浏览器。但是，对于API，没有标准的客户端，这意味着客户端实施很困难 - 这使得区分预期行为和机器人攻击或DDoS攻击变得更加困难。

• 通过检查传入请求有效负载无法轻松检测到攻击。

• 频繁更改传入请求格式会给创建 WAF 规则带来挑战。

还有一个热门话题是身份验证和授权最佳实践。SC 杂志上的一篇文章介绍了身份验证和授权漏洞的一些常见原因。

• 尽早将访问控制纳入 API 生命周期。

• 在应用程序级别（而不是在服务器级别）实现访问控制。

• 查看访问控制逻辑中关键代码路径的代码。

• 使用专用库进行访问控制，而不是实现自己的自定义逻辑。

• 检查第三方基础设施上的任何“所有访问控制”。

本周的最后一篇文章，涵盖了暴露的Docker REST API端点可能存在的风险。

作为实验的结果，作者建议将 Docker REST API 端点限制为仅本地网络或受信任的源。他们还建议使用 Docker 强化指南，并确保密码不会以明文形式存储。

感谢 APIsecurity.io 提供相关内容