API NEWS | 谷歌云对API安全挑战的看法

admin 2022年5月7日12:22:44评论37 views字数 2360阅读7分52秒阅读模式

API NEWS | 谷歌云对API安全挑战的看法


欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。

本周,我们带来的分享如下:

  • Drupal平台的一个API漏洞允许攻击者绕过访问控制;

  • 谷歌云对API安全挑战的看法;

  • OAuth2的全面指南;

  • 一篇介绍GitHub如何偏离OAuth2实现指南的文章。


Drupal修补了一个允许绕过访问的API漏洞


近期,热门开源内容管理系统Drupal发布了一个安全更新,修补了平台9.3版本中的一个API漏洞。

API NEWS | 谷歌云对API安全挑战的看法


Drupal公开了一个API用于集成和插件框架。Drupal披露API没有充分对后端进行访问授权,这可能会导致攻击者访问核心Drupal访问控制之外的内容。Drupal解释说:“这个API没有与现有权限完全集成”。


庆幸的是,仅平台的9.3版本受到影响,Drupal已发布更新的安全版本。

这是API2:2019的一个例子——失效的的身份验证——确保对所有API进行充分的身份验证。



谷歌云对API安全挑战的看法


Register报道了谷歌云最近的一篇关于API安全挑战(特别是在云环境中的API安全挑战)的文章。


API NEWS | 谷歌云对API安全挑战的看法


对各种API主题提出了观点和想法,如下:

• API安全需求将推动零信任的应用:尽管零信任为分布式API架构带来了巨大的好处,但作者的观点是,采用率仍然很低,通常只有五分之一。

• 微服务API的崛起:尽管API可以促进微服务架构的开发,但开发人员应该确保不会带来新的复杂性——“最糟糕的巨石,分布式巨石”。

• API使EDA保持活力:API支持事件驱动架构(EDAs),允许无服务器、异步和流的用例。但需要注意安全!

• GraphQL地位将赶超REST:作者预测到2025年GraphQL将超过REST API,这将对安全团队产生重大影响。

• Multi-APIM将支持混合部署:混合云环境将造成多个API管理部署来管理相同的API的现象出现。

• 供应商将解锁会话API:API将越来越多地为客户提供语音体验,为隐私和保护带来挑战。

• API将不再是IT的影子:API将成为组织中数据公开的标准渠道。安全团队应该接受这一点,并为API开发、部署和管理建立标准流程。

API安全将越来越具有挑战性,很高兴看到云提供商给予了该主题应有的重视。


OAuth2全面指南的第1部分


正确设计和实现OAuth2规范对API安全性至关重要,同时也是负责实现API身份验证和授权的开发人员所面临的困惑之一。近期,Dan Moore分享了关于相关的最佳指南之一,由StackOverflow博客提供。

本指南对OAuth2初学者十分友好,不仅提供了一个学习方向,还概述了使用OAuth2的一些优点。本文简要介绍了OAuth2的核心标准,以及一些更常见的特定的OAuth2标准。


API NEWS | 谷歌云对API安全挑战的看法


为什么使用 OAuth 来保护您的 API?

使用 OAuth 时,您将用户身份验证和授权外包给中央身份提供者 (IdP)。用户登录到 IdP 并以访问令牌的形式被授予有时限的权限。此令牌提供给其他应用程序、API 和服务。


使用这种集中式服务有许多优点:

• 一个拥有用户 PII 的系统比许多系统更容易被锁定和保护。 

• 正如数据库专注于保留具有某些保证的数据一样,IdP 可以专注于登录功能并提供易于理解的界面。

• 因为 IdP 是执行授权和身份验证决策的地方,所以它成为分析、启用和禁用对系统的访问的单一中心位置。

• 当所有用户都在 IdP 进行身份验证时,您可以轻松添加功能,例如与其他身份源的联合或多因素身份验证等安全措施。所有从 IdP 接受令牌的应用程序、API 和服务都受益于额外的功能,而无需对其代码进行任何更改。

对于开发人员来说,最常见的挑战是使用哪种授权类型。为此,该指南详细介绍了每种方法的优缺点,并总结了OAuth2的替代方案。

对于OAuth2初学者来说,这是一本很好的读物,很期待着介绍接下来的第二部分。


点击文末“阅读原文”可查看该指南全部内容


GitHub如何偏离OAuth2实现指南


近期的第二篇文章是另一篇关于OAuth2的文章,该文章无疑是面向技术人员的:一位研究人员描述了OAuth2在GitHub实现中的各种偏差。


文章涵盖三个主要领域:违反规范、特定于github的扩展和安全注意事项。其中,安全方面的考虑是最重要的:

• 支持OAuth 公共客户(PKCE)交换代码的证明密钥(RFC7636),以防止攻击者交换窃取的授权代码。

• 支持OAuth 2.0双向TLS客户端身份验证和证书绑定访问令牌(RFC8705),以进一步降低攻击者使用窃取的访问令牌的能力。

• 使用更安全的客户端身份验证方法——建议遵循金融行业API(FAPI)规范。

API NEWS | 谷歌云对API安全挑战的看法


本文旨在说明,在涉及身份验证和授权时,真正的问题在于细节。尽可能采用FAPI这样的行业最佳实践。


感谢 APIsecurity.io 提供相关内容


关于星阑



星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。

星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。


往期 · 推荐

API NEWS | 谷歌云对API安全挑战的看法

API NEWS | 谷歌云对API安全挑战的看法

API NEWS | 谷歌云对API安全挑战的看法

API NEWS | 谷歌云对API安全挑战的看法

API NEWS | 谷歌云对API安全挑战的看法

原文始发于微信公众号(星阑科技):API NEWS | 谷歌云对API安全挑战的看法

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月7日12:22:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   API NEWS | 谷歌云对API安全挑战的看法http://cn-sec.com/archives/984049.html

发表评论

匿名网友 填写信息