共计 3970 个字符,预计需要花费 10 分钟才能阅读完成。
5 月份的一些 API 安全漏洞报告, 心愿大家查漏补缺, 及时修复本人 API 可能呈现的破绽
No.1 微软.NET Core 破绽
破绽详情:微软官网发布公告称,其.NET Core 2.1、3.1 和 5.0 版本中存在一个破绽(CVE-2023-31479),攻击者能够利用该破绽在受影响的零碎上查问、编辑、删除或增加文件(包含重要文件),从而导致系统被入侵的危险。
破绽危害:微软.NET Core 破绽 CVE-2023-31479 是一种门路遍历破绽。攻击者能够通过结构特定申请,利用此破绽在.NET Core 2.1、3.1 和 5.0 版本中执行未经受权的文件读取、编辑、删除或增加操作。
影响范畴:包含应用.NET Core 2.1、3.1 和 5.0 版本构建的应用程序和服务。
小阑修复倡议
如果您应用.NET Core 2.1、3.1 或 5.0,请及时降级到已公布的修复版本。如果您无奈降级到较新版本的.NET Core,则能够思考施行其余安全措施,例如限度对服务器上敏感文件的拜访权限、禁用不必要的文件共享等。鉴于该破绽的重要性,小阑建议您评估零碎是否须要进行平安审核,以确认是否存在其余相干破绽。
No.2 对于 AWS 未记录的 API 安全漏洞
破绽详情:Datadog 的平安钻研人员发现了一个问题:AWS CloudTrail(一种日志记录服务)在 AWS 治理控制台中的体现与其余 AWS 服务不同。具体来说,它无奈像其余服务那样记录未被记录的 API 操作。这意味着有些 API 操作可能不会被 CloudTrail 残缺记录,从而导致日志信息不残缺。
破绽危害:指攻击者能够利用 AWS API 中未记录的接口和性能,执行未受权的操作或拜访 AWS 资源。攻击者可能通过这种破绽来获取敏感信息、篡改数据、操纵零碎、滥用 AWS 资源等,导致企业蒙受重大损失。
影响范畴:这个问题影响了一些与平安敏感相干的 API,它们波及到身份和拜访治理(IAM)申请。因为日志记录制度存在这个缺点,攻击者有可能调用这些 API 服务而不被发现。简略来说,这意味着有人能够在不留痕迹的状况下拜访一些敏感的平安信息,给零碎造成潜在危险。
小阑修复倡议
启用全面的日志记录:确保所有要害零碎和服务都启用了日志记录性能。这将有助于捕捉潜在的安全事件和异样行为。定期审查和更新:定期审查日志记录策略和监控设置以确保其充沛笼罩新的服务、资源和应用程序。依据组织的需要和政策进行更新。集中的日志治理:应用集中的日志治理解决方案来收集、存储和剖析日志。这有助于更容易地发现潜在的问题并放慢响应工夫。实时警报和告诉:依据要害指标和异样行为设置实时警报。及时理解潜在的安全事件,并采取相应措施。日志保留和备份策略:制订适合的日志保留和备份策略,确保日志信息可用且不易受损。适当的备份和归档能够防止数据失落。访问控制和权限治理:限度对日志文件和监控工具的拜访,确保只有通过受权的人员能够拜访和批改它们。培训和意识:培训员工和相干人员理解日志记录和监控的重要性,进步整个组织对于安全事件和异样行为的警觉性。定期审计和测试:定期对日志记录和监控策略进行审计,测试其有效性。这有助于发现潜在的破绽并确保策略始终保持最新。应用业余工具和服务:利用业余的日志记录和监控工具、服务以提高效率。
No.3 Wordle 在线谜题 API 破绽
破绽详情:一位平安专家在《纽约时报》的在线游戏 Wordle 中发现了一个安全漏洞。这个破绽裸露了游戏每天呈现的谜题答案,并使得游戏的 API(应用程序编程接口)容易受到黑客攻击。这位专家通过钻研 Wordle 网页版程序的 API,找到了以后谜题和将来谜题的答案。他利用 Chrome 浏览器里的开发者工具查看申请,发现返回的 JSON 文件蕴含了以后谜题的后果。而且,将来几天的 JSON 文件名也被嵌入到这个文件中,让他能够发送 API GET 申请来获取将来几天的谜题答案。此外,他还发现能够向服务器发送 POST 申请,从而批改网站上的内容,比方扭转将来谜题的答案。这个破绽阐明,攻击者能够用简略的浏览器工具轻松地查看 Web API,除了能通过 API 破绽获取谜题答案外,还有可能批改网站内容。
破绽危害:Wordle 在线谜题 API 的破绽危害是能够让攻击者通过暴力攻打或者其余伎俩轻易地获取到 Wordle 的正确答案,从而破解该谜题。这给玩家带来了肯定的不公平性,也可能升高 Wordle 的娱乐性和可玩性。
影响范畴:次要是针对应用 Wordle API 的网站或应用程序,如果这些网站或应用程序没有做好平安防护措施,那么用户的 Wordle 答案就可能被泄露。
小阑修复倡议倡议
开发者应用更强的加密算法来爱护 Wordle 答案,并确保所有用户输出的数据都通过了严格的验证和过滤,以避免歹意输出。另外,还能够思考限度申请的速率,防止暴力攻打的产生。最好的状况是与 Wordle API 提供商分割,确保他们曾经修复了这个破绽,并且在更新后从新集成 API。
No.4 Oracle WebLogic Server 破绽
破绽详情:Oracle WebLogic Server 破绽(CVE-2023-3237)是一种近程代码执行破绽。攻击者能够通过结构特定的申请,利用此破绽在 WebLogic Server 中执行恶意代码并获取管理员权限,从而在受影响的零碎上施行窃密、篡改和毁坏等攻击行为。
破绽危害:CVE-2023-3237 破绽是一种重大的近程代码执行破绽。攻击者能够通过结构特定的申请,在未受权的状况下近程执行恶意代码,并齐全管制受感化的零碎和敏感数据。攻击者能够窃取敏感数据、加密数据而后要求赎金、篡改数据、毁坏零碎或植入后门等,这些都可能导致企业蒙受重大损失。此破绽也可能被利用来发动针对要害基础架构、重要应用程序和云环境等的定向攻打。
影响范畴:该破绽可能影响到企业的重要业务零碎,应用如下版本的 Oracle WebLogic Server 是有影响的:
14.1.1.0
12.2.1.4.0
12.2.1.3.0
小阑修复倡议
如果您的零碎运行了受影响的版本,请尽快装置官网公布的补丁程序。如果您无奈立刻装置补丁程序,则能够思考应用其余进攻措施,如禁用非必要的服务,敞开默认的 Web 控制台,限度对服务器端口的拜访等。对于一些必要的服务,如 WebLogic 治理控制台和 T3 协定端口,能够利用网络保护措施以限度其被攻打的危险。如果您曾经受到了攻打,应确保立刻采取措施进行革除,并参考 Oracle 的平安倡议来躲避危险。
No.5 Strapi 身份验证绕过破绽
破绽详情:Strapi 是一种灵便的、开放源码的无头 CMS,开发者能够自由选择本人喜爱的工具和框架,编辑器也能够轻松地治理和散发内容。通过使治理面板和 API 可扩大通过插件零碎。Strapi 呈现身份验证绕过破绽(CVE-2023-22893),Strapi 版本 < 4.6.0 中,当应用 AWS Cognito login provider 用于身份验证时,Strapi 不会验证在 OAuth 流程期间收回的拜访或 ID 令牌。近程威逼者能够伪造应用 “None” 类型算法签名的 ID 令牌,以绕过身份验证并假冒任何应用 AWS Cognito login provider 进行身份验证的用户。
破绽危害:高危,攻击者可利用以上破绽实现未经身份验证的近程代码执行。
影响范畴:目前受影响的 Strapi 版本:CVE-2023-22621:Strapi 版本 <= 4.5.5CVE-2023-22894:3.2.1<= Strapi 版本 < 4.8.0CVE-2023-22893:3.2.1<= Strapi 版本 < 4.6.0
小阑修复倡议
官网已公布对应安全漏洞的修复版本,倡议受影响的用户及时降级防护,(或者降级至最新版本),对应修复版本如下:CNNVD-202304-1615 / CVE-2023-22621:Strapi 版本 >=4.5.6CNNVD-202304-1613 / CVE-2023-22894:Strapi 版本 >=4.8.0CNNVD-202304-1614 / CVE-2023-22893:Strapi 版本 >=4.6.0No.6
Twitter 的 API 破绽
破绽详情:Twitter API 破绽泄露了 5 万用户数据,包含他们的电子邮件地址、电话号码和 Twitter ID,以致多达 2 亿用户受到影响。Twitter API 破绽被称为 PII(个人身份信息)和社会工程的金矿,是因为这些破绽可能导致泄露大量用户的私密信息,从而使攻击者可能利用这些信息进行进一步的攻打。
破绽危害:当 Twitter API 存在破绽时,它可能带来以下危险隐患:
个人身份信息泄露:通过 API 破绽,攻击者可能获取到用户的用户名、电子邮件地址、电话号码等集体敏感信息。这些信息可被用于执行诸如钓鱼攻打、垃圾邮件发送等流动。
社交工程攻打:攻击者可利用获取到的用户信息进行社交工程攻打,例如伪装成敌人或权威机构,诱导受害者泄露更多信息或点击歹意链接。
账户劫持:攻击者获取用户信息后,能够尝试对用户账户进行暴力破解或利用已泄露的其余信息重置明码,从而管制受害者账户。
定向攻打:依据获取到的具体用户信息,攻击者可针对特定集体或企业开展定向攻打,如勒索软件攻打、外部网络入侵等。
身份偷盗:攻击者可利用泄露的个人身份信息进行身份偷盗,如假冒受害者进行金融交易、申请信用卡等。
隐衷泄露:除了个人身份信息外,还可能泄露用户私密对话、关注列表、爱好等隐衷数据,导致用户隐衷被进犯。
影响范畴:该 API 破绽会使 Twitter 用户面临诸多平安危险,不仅波及个人隐私爱护问题,还可能导致更重大的网络安全威逼。
小阑修复倡议
为了防备这些潜在危险,一方面须要 Twitter 公司增强 API 平安性能的保护和更新;另一方面,也须要用户进步本身的安全意识,如应用简单明码、开启双因素认证等办法来爱护本人的账户平安。