共计 3171 个字符,预计需要花费 8 分钟才能阅读完成。
本周,咱们带来的分享如下:
- Money Lover 爆出潜在 API 破绽
- 丰田治理经营平台的 API 破绽
- 一篇对于规范测试脱漏的 API 缺点文章
- Twitter 发表施行 API 付费,解决机器人滥用问题
Money Lover 爆出潜在 API 破绽
Dark Reading 对越南 Finsify 开发的“Money Lover”应用程序中存在 API 潜在破绽。Money Lover 是一款治理集体财务的工具应用程序。它能够帮忙用户记录和跟踪他们的收入、支出、估算、账单和债权等方面的状况。通过这个应用程序,用户能够更好地理解本人的财务状况,把握本人的收支流水,制订更理智的理财打算。此外,Money Lover 还提供了多种性能,如数据同步、报表剖析、揭示告诉等,使用户的财务管理更加不便和高效。
这个破绽是由 Trustwave 研究员 Troy Driver 发现的,他在通过代理服务器路由流量时,发现了 Money Lover 的安全性问题。
每个共享钱包的电子邮件地址、钱包名称和实时交易数据对他来说是可见的。钻研人员没有走漏发现的破绽的确切细节,但阐明这破绽具备访问控制中断的所有特色,无论是对象级受权中断还是用户身份验证中断。对象级受权中断破绽指的是攻击者能够通过绕过应用程序中的受权查看,对未经受权的资源进行拜访、批改或删除等操作。
在 Money Lover 利用中,如果存在该破绽,攻击者可能会利用此破绽获取到其余用户的敏感信息,如账户余额、交易记录等,并且还可能篡改或删除用户的数据,导致用户的账户受损或者财务数据被泄露。
为了防备对象级受权中断破绽,须要采取一些安全措施,例如:对所有敏感资源进行访问控制,只容许通过受权的用户或角色进行拜访和操作。对要害业务逻辑进行审计和监控,及时发现并阻止未经受权的拜访或操作。对应用程序进行频繁的平安测试和破绽扫描,发现并修复问题。
在开发过程中恪守平安最佳实际,如输出验证、输入编码、明码平安、错误处理等。
丰田治理经营平台的 API 破绽
最近,平安研究员伊顿·兹韦尔(Eaton Zveare)发现了丰田公司治理经营的零碎存在安全漏洞,能够让攻击者不受到监测地拜访丰田外部的文件和用户账户。这个问题波及到超过 14,000 名用户和机密信息,如果攻击者利用破绽加上他们本人的账户,就能够长期地获取丰田的数据,影响公司的寰球经营。
侥幸的是,丰田很快就修复了这个破绽,胜利地爱护了公司和客户的信息安全。
Zveare 宣称,他可能利用安全性较差的应用程序编程接口(API)来闯入丰田 GSPIMS 零碎,并能够齐全拜访丰田外部我的项目,文档和用户帐户,包含丰田内部合作伙伴 / 供应商的用户帐户。
该治理经营平台的 API 破绽危险点,在于攻击者能够利用安全性较差的 API 接口入侵零碎,齐全拜访丰田外部的我的项目、文档和用户账户,包含供应商和内部合作伙伴的账户,甚至可能拜访机密文件和我的项目。
攻击者能够增加本人的账户,并在不被发现的状况下永恒拜访丰田的数据,影响公司寰球经营,带来重大的财务和名誉损失。
对于这种 API 破绽,小阑倡议能够采取以下防护措施:
- 增强 API 接口的安全性设计,对输入输出进行限度和过滤,避免歹意攻击行为;
- 建设严格的用户权限管制机制,只受权给有必要拜访的人员,并对其进行监控和审计;
- 对要害数据进行加密和脱敏解决,避免泄密和信息泄露;
- 建设全面的安全事件应急预案和响应机制,确保在呈现平安问题时可能及时安顿应答措施,缩小损失和影响。
对于规范测试脱漏的 API 缺点
最近,《The Daily Swig》采访了 Corey Ball,他分享了对 2023 年 API 安全性的认识。
外围论断是,爱护 API 平安须要一种不同于 Web 应用程序平安的办法。尽管 Web 应用程序平安工具对于避免根本破绽缺点(如 SQL 注入)依然有用,然而它们无奈全面理解 API 实现的上下文,从而无奈检测某些类别的 API 破绽。
因而,咱们须要针对 API 设计和施行专门的平安办法,能力更好地保障 API 的安全性。
Ball 提到,随着 API 的宽泛应用,它们越来越成为攻击者的次要攻打指标。网络上常见的 API 平安谬误在数量上急剧减少,其中包含生效的对象级受权和缺失性能级受权等问题,这些受权谬误使得攻击者能够未经受权地拜访其余用户的数据。
Ball 示意:“因为 API 受权破绽普遍存在,咱们过于信赖无效用户,并没有充沛的测试来确保用户不能更改彼此的数据。”因而,企业须要采取措施来避免这种状况产生,包含施行严格的 API 受权访问控制和进行充沛的平安测试,能力确保 API 的安全性。
其实,在事实我的项目中,规范测试往往无奈齐全检测出所有 API 缺点,除了文章中提到的问题,还有一些可能被脱漏的 API 缺点:
- 认证问题:规范测试可能无奈检测出 API 认证计划中存在的弱点或者未被发现的破绽。
- 受权问题:因为受权问题通常波及低频率事件或者特定场景,规范测试可能无奈笼罩所有的受权场景并检测受权中的破绽。
- 配置问题:API 配置谬误可能导致安全性问题。例如,未正确设置 SSL/TLS 证书、应用默认凭据等。这种问题不会在规范测试中失去充沛检测。
- 数据保护问题:在 API 设计和实现阶段对数据保护进行有余的思考可能导致平安问题。例如敏感数据的传输时没有加密爱护。
- 持久性问题:规范测试可能无奈齐全检测出与 API 持久性相干的平安问题,例如利用程序逻辑谬误、数据库注入、文件系统攻打等。
- 平安日志记录问题:规范测试有可能无奈检测出 API 平安日志记录的问题,如平安日志记录缺失或日志记录有余,这可能导致对安全事件的响应和复原艰难。
文章论述的 API 破绽次要是生效的对象级受权,让攻击者能够利用生效的对象级别受权的 API 端点,通过操纵在申请中发送的对象拜访未经受权的敏感数据。这个问题在基于 API 的应用程序中极为常见,因为服务器组件通常不齐全跟踪客户端的状态,而是更多地依赖于从客户端发送的对象 ID 等参数来决定对象的拜访。
面对文章中所说的 API 破绽问题,小阑倡议:
- 施行依赖于用户策略和层次结构的适当的受权策略。
- 应用受权机制查看登录用户是否有权拜访通过 URL 指定的资源。
- 应用随机或者不可预测的值作为记录 ID,如 GUID。编写测试用例来评估受权机制的破绽,不要公布测试失败的变更。
Twitter 发表施行 API 付费 解决机器人滥用问题
本周,简略介绍 Twitter 在打击滥用其 API 的机器人帐户方面的停顿。报道谈到了 Twitter 在打击机器人造假帐号问题上的停顿,这是 Twitter 面临的一个很大的问题。机器人能够被网络犯罪分子利用来流传垃圾邮件和歹意链接,同时也会影响公众舆论的造成。
Twitter 团队发表,他们将不再提供收费的 API 拜访,有些人认为这是因为 Twitter 想借此伎俩赚更多的广告支出。
一些人持狐疑态度,认为社交媒体网站能够采取更好的策略和工具来打击这种僵尸网络,例如:辨认可疑帐户、应用业余工具、将帐户与事实世界的集体和组织分割起来等等。
歹意机器人滥用是一种利用 API 接口实现的攻打伎俩。攻击者能够编写特定的程序,利用 API 接口一直生成、公布大量自动化的虚伪信息、垃圾邮件和歹意链接,从而诱骗用户点击、下载恶意软件或输出集体敏感信息,导致用户受到坑骗和侵害。这种机器人的滥用会带来许多重大的结果,例如毁坏公共秩序,诱发社会事件,影响公众舆论,甚至可能泄露用户个人隐私等。
另外,因为歹意机器人是自动化的,因而攻击者能够轻松地制作大规模的攻打,这对网络安全造成了极大的威逼。
为了防备歹意机器人滥用,小阑倡议能够采取以下措施:
- 增强 API 访问控制,减少用户认证和受权机制;
- 开发主动监控机制,及时检测和封禁异样行为;
- 应用机器学习和人工智能等技术,辨认并过滤歹意机器人产生的信息;
- 激励用户进步安全意识,不轻易点击或下载未知起源的内容。
感激 http://APIsecurity.io 提供相干内容