共计 4248 个字符,预计需要花费 11 分钟才能阅读完成。
随着网络信息安全边界一直弱化,平安防护对象一直减少,攻击面愈发放大,对数据安全、信息安全提出了微小挑战,同时也为网络信息安全市场关上了新的增量空间。
API 曾经成为其面向内外部继续进步能力输入、数据输入、生态维系的重要载体。API 经济已是产业互联网中一个重要的组成部分,通过 API 经济,促成各行各业的数据变更和业务降级。
为了更好的帮忙企业爱护好 API 资产和数据安全,防止因 API 平安问题给企业带来不必要的损失,星阑科技为大家整顿了最新一期 8 月份的 API 破绽报告,以便企业更好的进行查漏补缺,帮忙企业建设网络安全全局观,一直强化行业自律,更好地进行数字化转型。
1.【破绽】Roblox 未受权信息泄露破绽
破绽详情:据 PC Gamer 报道,大型在线游戏平台 Roblox(罗布乐思)近日遭逢重大数据泄露,约 4000 名开发者个人隐私信息被公开,其中包含 2017-2020 年期间加入过 Roblox 开发者大会的开发者信息,涵盖其姓名、电话号码、电子邮件地址、出生日期和理论地址。
破绽危害:该破绽最后产生在 2020 年 12 月 18 日,大概 3943 个账户被泄露。裸露的数据包含姓名、用户名、电话号码、电子邮件 ID、IP 地址、家庭地址、出生日期和 T 恤尺寸等敏感细节。Roblox 示意他们曾经分割了所有受影响的集体。受影响较小的用户收到一封表白歉意的电子邮件;受影响更重大的用户,他们收到赔罪的同时失去了一年的身份爱护。Roblox 抵赖,第三方平安问题导致未经受权拜访其创建者的集体数据子集。
影响范畴:此次入侵次要影响了 2017-2020 年间为 Roblox 开发者举办的以往会议的与会者,他们当初面临着骚扰和身份偷盗等网络欺骗的危险。
小阑修复倡议:
正确配置访问控制:确保正确设置拜访权限和受权策略。应用最小权限准则,只给予用户必要的拜访权限。
启用身份验证:强制应用平安的认证办法,例如用户名和明码、拜访密钥等。
加密数据:采纳加密措施对敏感数据进行加密,即便数据被盗取,也无奈解密和应用。
定期审查权限和拜访日志:定期审查访问控制设置和拜访日志,及时发现异常流动并采取相应措施。
更新降级:定期降级最新版本,以取得修复破绽和平安强化的补丁。
2.【破绽】Twitter API 中断阻止登录破绽
破绽详情:寰球范畴内的 Twitter 用户在登录、退出账号、分享推文、点击链接以及查看图片时,遇到了一系列问题,Twitter API 的中断阻止了用户的拜访。这种影响范畴宽泛,简直波及到了所有应用 Twitter 的用户。
因为对 API 后端进行了一些绝对较小的更改,却引发了重大的中断问题,影响到了用户应用 API 以及挪动和 Web 应用程序。破绽危害:寰球范畴内都有报告指出这次中断,用户们看到了与 API 拜访相干的各种错误信息。甚至 Twitter 的反对人员在他们的 Twitter 帖子中抵赖了这次中断,埃隆·马斯克起初也示意“一个小小的 API 更改居然会产生如此微小的影响,并且最终须要齐全重写”。
影响范畴:这次中断产生在 Twitter 发表打算敞开收费拜访层之后不久。很显然,思考到 Twitter 的规模,从新设计整个 API 零碎将导致肯定水平的不稳固。
这对于用户来说会带来一系列问题:
服务不可用:因为 API 的中断,用户将无奈应用相干的挪动应用程序、网站或其余基于该 API 构建的服务。这将使他们无奈实现所需的操作或获取必要的信息。
谬误音讯:在中断期间,用户可能会遇到与 API 拜访相干的各种谬误音讯。这些谬误音讯会给用户带来困惑和不便,因为他们无奈取得预期的后果或性能。
影响业务流程:对于那些依赖于 API 的企业和组织而言,中断可能会重大影响其业务流程。如果他们的外围性能依赖于 API,中断将导致业务停滞,造成损失并影响用户体验。
小阑修复倡议:
定期备份和监控:确保对 API 进行定期备份,这样在呈现中断时能够疾速还原至最近的可用状态。同时,设置监控零碎来实时监测 API 的运行状态,及时发现并解决潜在问题。
逐渐更新和测试:当须要对 API 进行更改时,采取逐渐更新的形式,而不是一次性全面批改。在每个小的更改后,进行充沛的测试,以确保更改不会引发不可意料的问题。
分布式容错策略:建设容错机制,以避免单点故障和中断。例如,能够思考应用多个服务器或云平台,并在其中一个呈现故障时主动切换至备用服务器。
实时告诉和反对:在 API 中断期间,及时向用户提供精确的错误信息和状态更新。同时,提供疾速响应和反对,帮忙用户解决遇到的问题。
3.【破绽】PrestaShop SQL 注入破绽
破绽详情:PrestaShop/paypal 是 PrestaShop 网络商务生态系统的一个开源模块,提供 paypal 领取反对。在 3.12.0 至 3.16.3 版本的 PrestaShop paypal 模块中发现了一个 SQL 注入破绽,容许近程攻击者取得权限,批改数据,并可能影响零碎可用性。这个问题的起因是,用没有通过正确过滤的用户输出来构建 SQL 查问。
破绽危害:攻击者能够在易受攻击的零碎上执行任意 SQL 语句。依据正在应用的后端数据库,SQL 注入破绽会导致攻击者拜访不同级别的数据 / 零碎。在某些状况下,能够读入或写出文件,或者在底层操作系统上执行 shell 命令。通过 SQL 注入攻打,黑客能够绕过验证登录后盾,非法篡改数据库中的数据;还能执行任意的 SQL 语句,盗取用户的隐衷数据影响公司业务等等。
影响范畴:
3.12.0 <= PrestaShop/paypal <= 3.16.3
小阑倡议:
所有的查问语句都应用数据库提供的参数化查问接口,参数化的语句应用参数而不是将用户输出变量嵌入到 SQL 语句中。对进入数据库的特殊字符 '”\<>&*; 等进行本义解决,或编码转换。确认每种数据的类型,比方数字型的数据就必须是数字,数据库中的存储字段必须对应为 int 型。
数据长度应该严格规定,能在肯定水平上避免比拟长的 SQL 注入语句无奈正确执行。网站每个数据层的编码对立,倡议全副应用 UTF-8 编码,上上层编码不统一有可能导致一些过滤模型被绕过。
严格限度网站所用数据库账号的权限,给此用户仅提供可能满足其工作的权限,从而最大限度的缩小注入攻打对数据库的危害。
防止网站显示 SQL 错误信息,比方类型谬误、字段不匹配等,避免攻击者利用这些错误信息进行一些判断。
4.【破绽】Johnson Controls iSTAR Ultra 未受权破绽
破绽详情:Johnson Controls Metasys ADS/ADX/OAS Servers 是美国江森自控(Johnson Controls)公司的一种应用程序和数据服务器。Johnson Controls Metasys ADS/ADX/OAS servers 10.1.5 之前的 10 系列版本和 11.0.1 之前的 11 系列版本存在安全漏洞,攻击者利用该破绽可容许通过身份验证的用户将其余用户锁定在零碎之外并接管他们的帐户。
破绽危害:Johnson Controls Metasys ADS/ADX/OAS Servers 的特定 10 系列版本和 11 系列版本存在安全漏洞,攻击者胜利利用这些破绽会通过应用程序可编程接口获取明文凭证。
影响范畴:以下版本的 Metasys ADS/ADX/OAS 服务器受到影响:Metasys ADS/ADX/OAS 版本 X:10.1.6 之前的所有版本 Metasys ADS/ADX/OAS 版本 X:11.0.3 之前的所有版本
小阑修复倡议:
限度用户对敏感零碎的拜访:避免攻击者未受权拜访企业零碎或设施的另一个无效策略是,零碎设立之初就限度受权拜访,要求只有最值得信赖的员工才有权力拜访,这种做法对于爱护敏感的数据库和设施非常无效。
使用 IP 白名单:IP 白名单与 Web 利用防火墙(WAF)能够让企业组织中的非法用户拜访更加便当,在近程工作环境下特地有用,然而对于应用动静 IP、拜访代理或 VPN 的用户来说行不通。因而,近程用户最好是寻求固定的 IP 地址,无论这些 IP 地址是来自其本身的 ISP,还是来自 VPN/ 代理服务提供商。
监控登录流动:企业组织应该可能通过监控来发现异常的登录流动。例如,组织在部署了监控零碎之后,就能够及时发现企业零碎或设施中存在的可疑账户登录或异样登录流动,并采取相应的补救策略,如撤销账户拜访权限以防止攻打。
定期运行破绽扫描:因为攻击者总是在不停地伺机寻找未修补的破绽,进而对指标网络施行未受权拜访。因而,企业组织应定期进行破绽扫描或抉择延聘第三方业余人员,帮助 IT 员工治理 IT 平安。
及时更新应用软件版本:未及时对存在破绽的零碎进行修补是对业务平安形成最大威逼的起因之一,同时也是最容易被企业组织漠视的一个问题。
5.【破绽】Apache RocketMQ 近程命令执行破绽
破绽详情:Apache RocketMQ 是一款开源的分布式音讯和流解决平台,提供了高效、牢靠、可扩大的低提早音讯和流数据处理能力,广泛应用于异步通信、利用解耦、系统集成以及大数据、实时计算等场景。
该破绽编号为 CVE-2023-37582(CNNVD 编号: CNNVD-202307-1076)。胜利利用此破绽的攻击者,最终可近程在指标零碎上执行任意代码。
破绽危害:该破绽影响的是 RocketMQ 的 NameServer 服务(默认 9876 端口),如果 NameServer 服务端口裸露在外网,并且不足无效的身份认证机制,攻击者能够利用更新配置性能,以 RocketMQ 运行的零碎用户身份执行命令。
影响范畴:0.0 <= Apache RocketMQ <= 4.9.60.0 <=Apache RocketMQ <= 5.1.1
小阑修复倡议:
增加身份认证机制,确保只有受权用户能力拜访和操作 RocketMQ 的音讯队列。官网已公布漏洞补丁及修复版本,请评估业务是否受影响后,酌情降级至平安版本。(4.x 版本的用户倡议降级 RocketMQ 至 9.7 或以上版本,5.x 版本的用户倡议降级 RocketMQ 至 5.1.2 或以上版本)。倡议在降级前做好数据备份工作,防止出现意外。
对于 Portal Lab 实验室
星阑科技 Portal Lab 致力于前沿平安技术钻研及能力工具化。次要钻研方向为数据流动平安、API 平安、利用平安、攻防反抗等畛域。实验室成员研究成果曾发表于 BlackHat、HITB、BlueHat、KCon、XCon 等国内外出名平安会议,并屡次公布开源平安工具。将来,Portal Lab 将持续以凋谢翻新的态度踊跃投入各类平安技术钻研,继续为平安社区及企业级客户提供高质量技术输入。