关于mysql:API-NEWS-Jetpack-WordPress插件存在API漏洞

4次阅读

共计 3582 个字符，预计需要花费 9 分钟才能阅读完成。

欢送大家围观小阑精心整顿的 API 平安最新资讯，在这里你能看到最业余、最前沿的 API 平安技术和产业资讯，咱们提供对于寰球 API 平安资讯与信息安全深度察看。
本周，咱们带来的分享如下：
一篇对于 Jetpack WordPress 插件存在 API 破绽的文章
一篇对于如何应答一直增长的 API 安全漏洞的文章
一篇对于 API 安全性是事不宜迟的文章
工具：应用 Burp Suite 查找 GraphQL 破绽

风行的 WordPress 插件 Jetpack 强制对所有装置进行更新，以解决插件中的一个要害 API 破绽。该插件在 WordPress 用户中十分受欢迎，寰球下载量超过 500 万次。自 2012 年首次公布 2.0 版以来，所有版本都存在这个破绽。

Jetpack 的官网布告中对这个破绽的性质提供的细节很少，只是指出它影响到一个 API，并可能容许对受影响主机的文件系统进行拜访。文章列出了所有受影响的版本，但坚称目前没有已知的对该破绽的利用。用户被要求确保他们正在应用最新的插件版本，即 Jetpack 12.1.1。
小阑总结：这个破绽对于受影响的 WordPress 站点来说是十分危险的，因为它可能容许攻击者利用 API 破绽，从而拜访站点上的文件系统。如果攻打胜利，攻击者能够读取、批改或删除站点上的数据。这可能导致站点解体、数据泄露或损坏，对站点和其用户造成极大的损失。
为了预防这个破绽，所有应用 Jetpack 插件的 WordPress 站点都应该尽快更新到最新版本 Jetpack 12.1.1。此外，站点管理员还应该遵循良好的平安实际，如装置平安插件，设置强明码和多因素身份验证，以及定期备份站点数据以应答意外状况。此外，站点管理员还应该保持警惕，防止关上或下载来自未知起源的文件和链接，以缩小站点蒙受攻打的危险。

在本周探讨 API 平安挑战的两篇文章中的第一篇中，介绍了 Katrina Thompson 的想法。
作者强调了 API 在构建当今数字基础设施方面的重要性。可怜的是，这减少了攻击者的危险，他们意识到 API 在攻打组织时代表了“最佳点”。
依据这篇文章，最近的一项钻研表明，97% 的企业领导者将 API 的应用归类为对将来增长至关重要，另一项钻研表明，应用 API 的均匀数量比去年增长了 82%。

笔者指出了五种类型的 API 安全漏洞，并提出了解决办法，具体如下：
过于宽松的 API：API 常常能够拜访比它们应该拜访的更多的数据，并且通常以比它们应该更高的权限执行。API 应被授予执行其业务指标所需的最低权限。
代码中的谬误：正如读者所知，许多 API 破绽是因为代码库中的缺点造成的，导致 BOLA、BFLA 和身份验证中断等破绽。始终确保扫描 API 代码库以查找破绽，并在任何重大更改时手动审查。
速度超过平安：与 API 代码中的谬误主题相结合的是偏爱速度而不是安全性的主题。在许多状况下，业务需要往往占主导地位，API 团队在充沛验证安全性之前公布 API。这会导致生产中代价昂扬的中断，包含低廉的修补程序和返工。在开发的晚期阶段解决平安问题要无效得多。
公开和暗藏的 API：时事通信的读者相熟影子和僵尸 API 给平安团队带来的问题。如果您不晓得本人领有和操作的 API，则无奈爱护。
每个 API 都是惟一的：确保您理解爱护每个 API 的特定需要，因为它们可能具备十分不同的特色和平安要求。
小阑解读：
要防止 API 破绽并进步防范措施：
及时更新 API：确保你应用的所有插件、库和框架的 API 都是最新版本。
施行受权和访问控制：限度 API 的拜访仅限于通过受权和验证的用户或应用程序，应用令牌、密钥或其余访问控制机制，确保只有非法用户能力应用 API。
输出验证和过滤：在解决 API 申请时，对输出数据进行严格的验证和过滤，确保输出数据合乎预期格局和类型，以避免歹意数据注入或其余平安威逼。
强化身份验证：为 API 拜访施行弱小的身份验证机制，如多因素身份验证、OAuth 等，避免未经受权的拜访和歹意流动。
监控和日志记录：实时监控 API 的应用状况，并记录重要操作和事件，这样能够疾速检测异样行为并采取适当的响应措施。
平安审计和代码审查：进行定期的平安审计和代码审查，查看潜在的破绽和安全隐患；修复发现的问题，并确保 API 的代码品质和安全性。
平安培训和意识：提供平安培训，教育开发人员、管理员和用户无关 API 平安最佳实际和常见攻击方式，加强安全意识，及时辨认和应答平安威逼。

这一篇文章将介绍印度 CIO.com 和 Indiatimes.com 上多位平安专家的见解。

寰球信息安全和网络安全主管 Nikhil Chawla 认为，人员和威逼给 API 平安带来了许多挑战。在许多状况下，开发人员没有充沛意识到对 API 可能带来的威逼，漠视了重要的主题，如速率限度、DDoS 攻打和跨站脚本攻打。通过更好地了解这些问题，他们能够在爱护 API 方面获得更大胜利。CSB 银行有限公司首席信息安全官巴比塔·B·P 重点关注 API 可见性这一重要话题。在大规模确保 API 平安方面，要害是确保以自动化形式监控 API，并尽量减少对手动发现和审计 API 的依赖。Radware 云平安服务销售总监 Navneet Daga 总结道，进步 API 安全性须要平安和开发团队之间增强合作，API 安全性不是一个单点解决方案，而是须要分层策略进行深度进攻。
小阑倡议：API 在古代应用程序中起着关键作用，其安全性的重要性不容忽视：
数据保护：API 作为不同应用程序之间的桥梁，承载着大量敏感数据的传输和替换。确保 API 的安全性能够预防数据泄露、篡改或未经受权的拜访，爱护用户和组织的重要信息。
业务连续性：许多企业和组织依赖于 API 来提供外围服务和性能，如果 API 存在破绽或受到攻打，可能导致系统解体、服务中断或无奈失常运行，对业务造成重大影响。
用户隐衷爱护：API 通常须要与用户进行交互，波及到用户个人信息的解决和存储，确保 API 的安全性能够避免用户隐衷泄露和滥用，加强用户对产品和服务的信任感。
避免歹意攻打：歹意攻击者经常利用 API 的弱点进行攻打，例如通过 API 暴力破解明码、注入恶意代码或发动拒绝服务攻打；增强 API 安全性能够缩小潜在的攻击面，进步零碎的抵挡能力。
合规要求：许多行业和法规对数据的安全性和隐衷爱护有严格的要求，例如金融、医疗和集体信息管理畛域，放弃 API 的安全性是满足合规要求的重要一步。

Port Swigger 提供了一个对于应用他们的 Burp Suite 工具来辨认 GraphQL 破绽。

利用 GraphQL API 的第一步是发现端点。这能够应用 Burp Suite 手动实现，也能够通过将通用查问发送到常见的 GrahpQL API 端点来实现，如下所示：/graphql/api/api/graphql/graphql/api/graphql/graphql 确定终结点后，能够确定终结点反对的不同申请办法，包含反对的数据类型。下一步是辨认未经污染的参数，并发现通过这些参数注入歹意内容的不同办法。通过发现架构信息，能够深刻理解 API 的构造，并容许攻击者深刻理解如何进一步攻打 API。Burp Suite 还提供了一个扩大，能够主动执行大部分发现过程，这是风行的扩大。InQL 是一个 Burp Suite 扩大，可帮忙您平安地审核 GraphQL API。
它收回一个内省查问，申请给定 URL 的所有查问和渐变（通过指向实时终结点的链接或通过 JSON 文件），并提供结构化视图以帮忙您浏览后果。从平安角度来看，文章最初提出了一些爱护 GraphQL API 的有用倡议：在 API 终端节点上禁用侦测，除非有明确且易于了解的理由来启用它，这能够避免攻击者理解终结点的工作原理。查看 API 的架构，确保它不会向公众公开意外字段。确保禁用倡议，以避免攻击者应用工具收集无关基础架构的信息。确保您的 API 架构不会公开公有用户字段，例如 PII 等信息。
感激 APIsecurity.io 提供相干内容
对于星阑
星阑科技基于大数据分析及 AI 智能化技术体系，助力企业应答数字世界的平安危险。凭借继续翻新的平安理念和成果导向的攻防能力，星阑科技倒退成为国内数据智能、信息安全畛域的双料科技公司。为解决流动数据安全问题，星阑科技从数据攻防、数据分析、数据治理等不同场景登程，提供全景化数据流转监测、利用数据分析、API 平安治理、高级威逼检测等解决方案，构建全链路流动数据保护体系。星阑科技外围产品——萤火流动数据分析平台，可针对用户异构、多模态数据提供危险监测、合规性治理、数据建模、用户追踪、行为关联、AI 解释与推理等一体化数据分析能力，为企业的数据可观测性、数据合规、威逼监测、利用治理、业务洞察等场景提供全面反对。

正文完