欢送大家围观小阑精心整顿的 API 平安最新资讯,在这里你能看到最业余、最前沿的 API 平安技术和产业资讯,咱们提供对于寰球 API 平安资讯与信息安全深度察看。
本周,咱们带来的分享如下:
一篇对于 Jetpack WordPress 插件存在 API 破绽的文章
一篇对于如何应答一直增长的 API 安全漏洞的文章
一篇对于 API 安全性是事不宜迟的文章
工具:应用 Burp Suite 查找 GraphQL 破绽
Jetpack WordPress 插件 API 破绽影响数百万个网站
风行的 WordPress 插件 Jetpack 强制对所有装置进行更新,以解决插件中的一个要害 API 破绽。该插件在 WordPress 用户中十分受欢迎,寰球下载量超过 500 万次。自 2012 年首次公布 2.0 版以来,所有版本都存在这个破绽。
Jetpack 的官网布告中对这个破绽的性质提供的细节很少,只是指出它影响到一个 API,并可能容许对受影响主机的文件系统进行拜访。文章列出了所有受影响的版本,但坚称目前没有已知的对该破绽的利用。用户被要求确保他们正在应用最新的插件版本,即 Jetpack 12.1.1。
小阑总结:这个破绽对于受影响的 WordPress 站点来说是十分危险的,因为它可能容许攻击者利用 API 破绽,从而拜访站点上的文件系统。如果攻打胜利,攻击者能够读取、批改或删除站点上的数据。这可能导致站点解体、数据泄露或损坏,对站点和其用户造成极大的损失。
为了预防这个破绽,所有应用 Jetpack 插件的 WordPress 站点都应该尽快更新到最新版本 Jetpack 12.1.1。此外,站点管理员还应该遵循良好的平安实际,如装置平安插件,设置强明码和多因素身份验证,以及定期备份站点数据以应答意外状况。此外,站点管理员还应该保持警惕,防止关上或下载来自未知起源的文件和链接,以缩小站点蒙受攻打的危险。
翻新爱护:2023 年应答 API 安全漏洞的前沿策略
在本周探讨 API 平安挑战的两篇文章中的第一篇中,介绍了 Katrina Thompson 的想法。
作者强调了 API 在构建当今数字基础设施方面的重要性。可怜的是,这减少了攻击者的危险,他们意识到 API 在攻打组织时代表了“最佳点”。
依据这篇文章,最近的一项钻研表明,97% 的企业领导者将 API 的应用归类为对将来增长至关重要,另一项钻研表明,应用 API 的均匀数量比去年增长了 82%。
笔者指出了五种类型的 API 安全漏洞,并提出了解决办法,具体如下:
过于宽松的 API:API 常常能够拜访比它们应该拜访的更多的数据,并且通常以比它们应该更高的权限执行。API 应被授予执行其业务指标所需的最低权限。
代码中的谬误:正如读者所知,许多 API 破绽是因为代码库中的缺点造成的,导致 BOLA、BFLA 和身份验证中断等破绽。始终确保扫描 API 代码库以查找破绽,并在任何重大更改时手动审查。
速度超过平安:与 API 代码中的谬误主题相结合的是偏爱速度而不是安全性的主题。在许多状况下,业务需要往往占主导地位,API 团队在充沛验证安全性之前公布 API。这会导致生产中代价昂扬的中断,包含低廉的修补程序和返工。在开发的晚期阶段解决平安问题要无效得多。
公开和暗藏的 API:时事通信的读者相熟影子和僵尸 API 给平安团队带来的问题。如果您不晓得本人领有和操作的 API,则无奈爱护。
每个 API 都是惟一的:确保您理解爱护每个 API 的特定需要,因为它们可能具备十分不同的特色和平安要求。
小阑解读:
要防止 API 破绽并进步防范措施:
及时更新 API:确保你应用的所有插件、库和框架的 API 都是最新版本。
施行受权和访问控制:限度 API 的拜访仅限于通过受权和验证的用户或应用程序,应用令牌、密钥或其余访问控制机制,确保只有非法用户能力应用 API。
输出验证和过滤:在解决 API 申请时,对输出数据进行严格的验证和过滤,确保输出数据合乎预期格局和类型,以避免歹意数据注入或其余平安威逼。
强化身份验证:为 API 拜访施行弱小的身份验证机制,如多因素身份验证、OAuth 等,避免未经受权的拜访和歹意流动。
监控和日志记录:实时监控 API 的应用状况,并记录重要操作和事件,这样能够疾速检测异样行为并采取适当的响应措施。
平安审计和代码审查:进行定期的平安审计和代码审查,查看潜在的破绽和安全隐患;修复发现的问题,并确保 API 的代码品质和安全性。
平安培训和意识:提供平安培训,教育开发人员、管理员和用户无关 API 平安最佳实际和常见攻击方式,加强安全意识,及时辨认和应答平安威逼。
以后最紧迫的工作:确保 API 的安全性
这一篇文章将介绍印度 CIO.com 和 Indiatimes.com 上多位平安专家的见解。
寰球信息安全和网络安全主管 Nikhil Chawla 认为,人员和威逼给 API 平安带来了许多挑战。在许多状况下,开发人员没有充沛意识到对 API 可能带来的威逼,漠视了重要的主题,如速率限度、DDoS 攻打和跨站脚本攻打。通过更好地了解这些问题,他们能够在爱护 API 方面获得更大胜利。CSB 银行有限公司首席信息安全官巴比塔·B·P 重点关注 API 可见性这一重要话题。在大规模确保 API 平安方面,要害是确保以自动化形式监控 API,并尽量减少对手动发现和审计 API 的依赖。Radware 云平安服务销售总监 Navneet Daga 总结道,进步 API 安全性须要平安和开发团队之间增强合作,API 安全性不是一个单点解决方案,而是须要分层策略进行深度进攻。
小阑倡议:API 在古代应用程序中起着关键作用,其安全性的重要性不容忽视:
数据保护:API 作为不同应用程序之间的桥梁,承载着大量敏感数据的传输和替换。确保 API 的安全性能够预防数据泄露、篡改或未经受权的拜访,爱护用户和组织的重要信息。
业务连续性:许多企业和组织依赖于 API 来提供外围服务和性能,如果 API 存在破绽或受到攻打,可能导致系统解体、服务中断或无奈失常运行,对业务造成重大影响。
用户隐衷爱护:API 通常须要与用户进行交互,波及到用户个人信息的解决和存储,确保 API 的安全性能够避免用户隐衷泄露和滥用,加强用户对产品和服务的信任感。
避免歹意攻打:歹意攻击者经常利用 API 的弱点进行攻打,例如通过 API 暴力破解明码、注入恶意代码或发动拒绝服务攻打;增强 API 安全性能够缩小潜在的攻击面,进步零碎的抵挡能力。
合规要求:许多行业和法规对数据的安全性和隐衷爱护有严格的要求,例如金融、医疗和集体信息管理畛域,放弃 API 的安全性是满足合规要求的重要一步。
应用 Burp Suite 查找 GraphQL 破绽
Port Swigger 提供了一个对于应用他们的 Burp Suite 工具来辨认 GraphQL 破绽。
利用 GraphQL API 的第一步是发现端点。这能够应用 Burp Suite 手动实现,也能够通过将通用查问发送到常见的 GrahpQL API 端点来实现,如下所示:/graphql/api/api/graphql/graphql/api/graphql/graphql 确定终结点后,能够确定终结点反对的不同申请办法,包含反对的数据类型。下一步是辨认未经污染的参数,并发现通过这些参数注入歹意内容的不同办法。通过发现架构信息,能够深刻理解 API 的构造,并容许攻击者深刻理解如何进一步攻打 API。Burp Suite 还提供了一个扩大,能够主动执行大部分发现过程,这是风行的扩大。InQL 是一个 Burp Suite 扩大,可帮忙您平安地审核 GraphQL API。
它收回一个内省查问,申请给定 URL 的所有查问和渐变(通过指向实时终结点的链接或通过 JSON 文件),并提供结构化视图以帮忙您浏览后果。从平安角度来看,文章最初提出了一些爱护 GraphQL API 的有用倡议:在 API 终端节点上禁用侦测,除非有明确且易于了解的理由来启用它,这能够避免攻击者理解终结点的工作原理。查看 API 的架构,确保它不会向公众公开意外字段。确保禁用倡议,以避免攻击者应用工具收集无关基础架构的信息。确保您的 API 架构不会公开公有用户字段,例如 PII 等信息。
感激 APIsecurity.io 提供相干内容
对于星阑
星阑科技基于大数据分析及 AI 智能化技术体系,助力企业应答数字世界的平安危险。凭借继续翻新的平安理念和成果导向的攻防能力,星阑科技倒退成为国内数据智能、信息安全畛域的双料科技公司。为解决流动数据安全问题,星阑科技从数据攻防、数据分析、数据治理等不同场景登程,提供全景化数据流转监测、利用数据分析、API 平安治理、高级威逼检测等解决方案,构建全链路流动数据保护体系。星阑科技外围产品——萤火流动数据分析平台,可针对用户异构、多模态数据提供危险监测、合规性治理、数据建模、用户追踪、行为关联、AI 解释与推理等一体化数据分析能力,为企业的数据可观测性、数据合规、威逼监测、利用治理、业务洞察等场景提供全面反对。