12月API漏洞及相关资讯一览

为了让大家的API更加安全

致力于守护数字世界每一次网络调用

小阑公司 PortalLab实验室的同事们

给大家整理了

12月份的一些API安全漏洞报告和资讯

希望大家查漏补缺

及时修复自己API可能出现的漏洞

漏洞详情：Zendesk Explore 是一款报告和分析解决方案，可使组织机构“查看并分析关于客户的关键信息以及支持资源”。Varonis Threat Labs报告了流行的Zendesk票务和支持系统中的两个漏洞，这些漏洞影响着Zendesk Explore安全性。

漏洞危害：第一个是SQL注入漏洞，它允许攻击者向底层数据库注入任意命令。第二个涉及API端点中的漏洞，该漏洞提供了执行查询功能来修改平台文档。由于实现中的弱点，研究人员发现API端点没有验证API调用者有权访问指定的数据记录，并且可以修改查询以从其他数据库表中提取任意数据。

影响范围：该漏洞和 GraphQL API 中的一个SQL 注入有关，可被攻击者以管理员用户身份提取数据库中的所有信息，包括邮件地址、工单以及和实时代理的会话。

漏洞详情：超过540万条推特用户的数据在黑客论坛上免费共享，该数据与此前8月份黑客出售的数据相同，包含5485635条推特用户的数据。这些数据包含私人的电子邮件地址和电话号码，以及推特ID、名称、验证状态等多个公开的信息。这些数据是攻击者利用推特API漏洞进行收集的。

漏洞危害：可能导致数百万的Twitter用户将有可能面临潜在的网络钓鱼攻击。

影响范围：这次漏洞中带来的最重要的威胁是社会工程。网络犯罪分子可能会利用从这次漏洞中获取的姓名和地址，以用户为目标，进行电子邮件钓鱼、语音钓鱼和网络钓鱼诈骗，试图诱使用户交出个人信息和登录凭证。

漏洞详情：日前，Salt Labs进行的一项调查中发现，在LEGO® Group旗下的乐高转售平台中出现应用程序编程接口 (API) 安全漏洞，这可能会使敏感的客户信息面临风险。报告指出，BrickLink中存在两个API安全漏洞，BrickLink是一个买卖乐高零件、人仔和套装的在线市场，拥有超过一百万的会员。

漏洞危害：研究人员表示，这些漏洞可能使威胁行为者能够对客户账户进行大规模账户接管 (ATO) 攻击，访问平台存储的个人身份信息 (PII) 用户数据，并获得对内部生产数据的访问权限，从而可能导致完全妥协 BrickLink 的内部服务器。

影响范围：该漏洞会让系统的每个用户都处于危险之中，攻击者可以访问用户存储的所有信息，包括个人信息数据和信用卡详细信息。

内容详情：日前，Akamai披露称，在过去12个月里，金融服务行业检测到的web应用程序和API攻击数量同比激增3.5倍。并称，针对WEB应用程序和API的威胁增加，反映出金融机构对数字服务的投资增加，这是欧洲PSD2等开放银行授权的结果。虽然这些技术有助于向第三方提供商开放银行服务，为客户创造更精简的体验，但它们也扩大了企业的攻击面。此外，还发现bot活动（81%）和DDoS攻击（22%）同比大幅增加，同时针对客户的网络钓鱼攻击也出现激增。

攻击危害：报告的叙述了造成这一趋势的两个主要原因：首先，攻击表面越来越快，为攻击者提供了更多机会；其次，组织缺乏保护其资产的必要技能。报告指出，API攻击的自动化程度是导致基于API的攻击增加的主要因素。

影响范围：针对网络应用程序和API的威胁增加，反映出金融机构对数字服务的投资增加。这些技术有助于向第三方提供商开放银行服务，为客户创造更精简的体验，但它们也扩大了企业的攻击面。银行是第三大受网络应用和API攻击的垂直领域，占总攻击数的15%。一旦攻击者成功发起网络应用攻击，他们就可以窃取机密数据，在更严重的情况下，他们还可以获得对网络的初始访问权，并获得更多的证书，从而允许他们横向移动。除了入侵的影响外，窃取的信息还可能在地下兜售或用于其他攻击。考虑到金融垂直服务所持有的大量数据，如个人身份信息和账户详细信息，这非常令人担忧。

报告指出：

• 澳大利亚、日本和印度是该区域遭受 Web 应用程序和 API 攻击最多的国家。

• 24 小时内，利用新发现的零日漏洞针对金融服务业发起的攻击可能高达每小时数千次并且迅速达到高峰，让人几乎没有时间去修补并做出反应。

• 本地文件包含 (LFI) 和跨站点脚本 (XSS) 攻击大幅增加，表明攻击者正转向远程代码执行尝试，对内部网络安全带来更大压力。

• 针对金融服务业客户的网络钓鱼活动正在采取一些可绕过双重身份验证解决方案的技术，给日常客户造成了更高的风险。

• 40% 以上的攻击属于客户帐户接管尝试类型，另外 40% 专注于网站内容抓取，后者用于创建更容易让人相信的网络钓鱼诈骗。

内容详情：根据Google Cloud的一项调查，企业最头疼的API安全问题是安全配置错误（占比40%），其次是过时的API和组件以及垃圾邮件和滥用机器人（三分之一）。根据对500多名技术领导者的调查，三分之二的受访企业（67%）在测试阶段发现了与API相关的安全问题和漏洞，但大多数企业（超过60%）在软件开发、应用程序部署以及实时监控过程中发现了API安全问题。

攻击危害：API是企业数字化转型的关键，但谷歌的两项调查发现，数字化转型（上云）同时也导致针对API的网络攻击和API自身的攻击面正在达到一个临界点。API（Web应用程序编程接口）是将云应用程序和基础架构结合在一起的粘合剂，但这些端点越来越多地受到攻击，50%的受访企业承认在过去12个月中发生了与API相关的安全事件。企业对API安全的信心与调查揭示的事实不符，企业安全格局已经发生了重大变化——随着API数量的急剧增长，API已经成为应用安全的新战场。

影响范围：谷歌的调查发现，46%的受访企业只在企业内使用API，但超过一半（54%）的企业允许合作伙伴、客户和其他外部开发人员使用其API，作为刺激第三方开发的一种方式。过去两年由于新冠病毒大流行导致业务中断，加速了企业数字化转型，企业对Web API的重视与日俱增。在另外一项调查中，受访的770名技术领导者的绝大多数（93%）都表示其运营“主要依托云”，高于两年前的83%。据估计，自2020年以来，与API相关的安全事件造成了120-230亿美元的损失。而且企业的攻击面正在不断扩大：如今大企业的平均API数量是一年前的三倍，高达15,600个。