欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
本周,我们带来的分享如下:
• 关注两个新漏洞:Spring 框架中先后出现Spring4Shell 0day 漏洞和Log4Shell漏洞;
• CRI-O容器运行时中的一个漏洞允许攻击者访问主机;
• REST API安全性指南;
• 为何在应用了API网关的前提下,API安全还是必不可少;
Spring 框架存在Spring4Shell 0day漏洞
2021年12月log4shell漏洞出现之后,接着又出现了另一个shell漏洞——这一次受影响的组件是Spring框架中基于java的Core模块。该漏洞被称为Spring4Shell/Springshell,它允许未经身份验证的攻击者在目标系统上触发远程代码执行(RCE)。该漏洞最初由一名研究人员所发现,他发布了一些利用代码的样本,现已删除。
该漏洞尚未纳入CVE编号,但Spring已经确认了该漏洞,并通过Maven Central宣布在Spring Framework 5.3.18和5.2.20版本中部署了一个紧急补丁。虽然该漏洞为远程控制漏洞,初步报告显示它没有log4shell漏洞那么严重,由于利用该漏洞需要先决条件,即Spring框架安装版本4.3.0 5.3.15,Apache Tomcat和JDK 9或更高版本,以及打包为传统的WAR而非JAR。
42Crunch对该漏洞进行了深入报道,展示了积极的安全模型对于减少此类高危0day漏洞的好处。
CRI-O容器运行时允许攻击者访问主机
本周的第二个漏洞是Kubernetes安装中常用的CRI-O容器运行时。CrowdStrike的研究人员发现,该漏洞允许恶意用户获得对底层主机的root访问权,在CVSS评分系统的评分为8.8。该漏洞已修补,用户应尽快升级系统。
通过使用名称空间的概念,可以设置单个容器的内核参数,且不会影响主机本身——这是一种标准的安全机制,可以确保只允许“安全”的参数更改。CRI-O 1.19版本引入了一个特性,允许用户重写该设置,并使用参数kernel.core_pattern向内核传递任意参数。糟糕的是,该参数未经过验证,允许攻击者向主机发送任意命令。
这一漏洞是及时警醒了一点——确保加固模式和指导方针应用于复杂的系统,如Kubernetes。
REST API安全参考指南
本周,很高兴地介绍来自DZone团队的REST API安全参考卡。参考卡旨在为开发人员提供一个快速入门指南,助其开发API并提供所需的API安全性的高级概述。该指南涵盖以下主要主题:
• API安全概述
• API安全基础
• 安全的API生命周期
• 常见的API攻击(和防御)方法
• 常见漏洞
• API安全最佳实践
点击文末“阅读原文”可查看文章全部内容
API网关需要API安全的补充
最后,Security Boulevard提出观点:除了已经部署的API网关外,还需专门的API安全解决方案——深度防御是全面API安全的最佳策略。
作为API安全难题中必不可少的一部分,API网关提供了以下特性:
• 用于控制API的内联代理
• 通过凭证和令牌验证验证与请求关联的身份
• 将API调用路由到前端端点和后端服务
• 通过使用速率限制和限流的API度量流量
• 额外的日志记录和监控。
虽然所有的云提供商都会提供API网关产品,但都无一例外地建议使用额外的API安全产品,如WAF、WAAP或特定于API的安全产品。API网关和特定于API的工具之间的根本区别是前者只在端点上运行,与模式无关,而特定于API的工具能够检查有效负载级别的API流量。通过检查模式和操作相关的API交互,可以限制不符合规范的数据(限制大量分配和过多的数据暴露漏洞)以及限制无效操作(使用未知的HTTP动词)。积极安全模型的基本原则:将已知部分视为安全的,假设所有未知部分为不安全的。
这本优秀读物介绍了积极安全模型的好处和深度防御方法的价值。
感谢 APIsecurity.io 提供相关内容
关于星阑
星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。
星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。
往期 · 推荐
原文始发于微信公众号(星阑科技):API NEWS | 关于Spring 框架存在的Spring4Shell 0day漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论