关于算法:Bookingcom爆出API漏洞

44次阅读

共计 3379 个字符,预计需要花费 9 分钟才能阅读完成。

欢送大家围观小阑精心整顿的 API 平安最新资讯,在这里你能看到最业余、最前沿的 API 平安技术和产业资讯,咱们提供对于寰球 API 平安资讯与信息安全深度察看。
本周,咱们带来的分享如下:

  • Booking.com 爆出 API 破绽
  • 谷歌金融 APP 泄露 API 敏感数据
  • 一篇对于 API 平安测试清单的文章
  • 一篇对于“以人为本的修复是确保 API 平安的要害”文章

    Booking.com 爆出 API 破绽

    IT Security Guru 最近的考察发现,住宿预订服务 http://Booking.com,在登录性能的 OAuth 实例,可能导致歹意攻击者接管用户的账号,而且黑客也可能以同样的手法,登录 http://Booking.com 子公司 http://Kayak.com。http://Booking.com 在收到 Salt Security 的破绽通报后,曾经迅速修复问题,并且确认未有黑客利用该破绽入侵平台。
    OAuth(Open Authorization)是目前的凋谢身份验证规范,使用户能够容许应用程序读取脸书或 Google 等账号材料进行身份验证,不便地登录应用程序。
    钻研人员发现 http://Booking.com 上因为不平安的 OAuth 设计缺点,使攻击者有机会接管以脸书登录的账号,而且一旦接管胜利,攻击者便能够混充用户执行任意操作,包含拜访所有集体资讯和其余敏感数据。
    这项破绽不只让应用脸书账号登录 http://Booking.com 的用户受到影响,即使用户是应用 Google 或其余登录形式创立账号,攻击者同样也能够应用脸书登录性能接管其 http://Booking.com 账号。攻击者只有向应用 Google 身份验证的 http://Booking.com 用户发送歹意连贯,因为受害者电子邮件地址雷同,http://Booking.com 便会主动关联领有雷同电子邮件的账户容许登录。

    钻研人员提到,这类 OAuth 配置谬误对公司和用户造成重大影响,攻击者可能会代替受害者提出未经受权的申请、勾销预订,或是拜访敏感集体资讯,包含预约历史记录、集体爱好或是将来订单。
    尽管 OAuth2(或其余规范机制)能够减少 API 安全性,但实现起来可能会很简单。因而,这揭示 API 开发人员必须小心谨慎,进步安全意识,确保应用 OAuth2 时必须正确配置。

    谷歌金融 APP 泄露 API 敏感数据

    近期来自 Approov 的报告宣称,对谷歌利用商店上的金融应用程序进行了钻研。该报告的关键点是,谷歌利用商店上 92% 的金融应用程序蕴含可提取的数据,例如 API 密钥。
    在这些泄露的应用程序中,透露了近四分之一的敏感数据,例如用于领取和货币账户转移的身份验证密钥。该钻研基于谷歌利用商店中美国、英国、法国和德国的“前 200 名”金融服务应用程序。

    Approov 应用一个五点框架来辨认挪动应用程序攻击面:用户凭据应用程序完整性设施完整性 API 通道完整性服务破绽依据 Approov 的说法,大多数考察的应用程序在进攻针对设施环境的攻打方面都十分单薄,而且很难对中间人攻打进行无效防护。
    中间人攻打(Man-in-the-Middle Attack, MITM)是一种由来已久的网络入侵伎俩,并且当今依然有着宽泛的倒退空间。MITM 攻打能够通过拦挡失常的网络通信数据,并进行数据篡改和嗅探,而通信的单方却毫不知情。在黑客技术越来越多的使用于以获取经济利益为指标的状况下时,MITM 攻打成为对网银、网游、网上交易等最有威逼并且最具破坏性的一种攻击方式。
    小阑倡议,预防中间人攻打,能够采取以下措施:
    采纳动静 ARP 检测:DHCP Snooping 等管制操作来增强网络基础设施。
    采纳传输加密:SSL 和 TLS 能够阻止攻击者应用和剖析网络流量。像 Google 等公司现在都有高级的网站搜索引擎优化,默认状态下都提供 HTTPS。
    应用 CASBs 云拜访平安代理:CASBs 能够提供加密、访问控制、异样爱护以及数据失落爱护等一系列性能。
    创立 RASP 实时应用程序自我爱护:内置于应用程序中,用来避免实时攻打。
    阻止自签名证书:自签名证书很容易伪造,然而目前还没有撤销它们的机制,所以应该应用无效证书颁发机构提供的证书。
    强制应用 SSLpinning:这是反抗 MiTM 攻打的另一种形式。应用无效证书颁发机构提供的证书是第一步,它是通过返回的受信赖的根证书以及是否与主机名匹配来验证该服务器提供的证书的有效性。通过 SSL pinning 能够验证客户端查看服务器证书的有效性。

    对于 API 平安测试清单

    最近外国平安研究员 DANA 发现了 Shieldify 的一个 GitHub 存储库,其中蕴含一个 API 平安清单,列出了在设计、测试和公布应用程序编程接口时要思考的最重要对策。尽管它不是目前最全面的 REST API 平安测试清单,但它很好地涵盖了蓝队须要思考的许多重要事项。

    API 平安测试清单(局部)如下:

  • 认证和受权:确保 API 要求身份验证(Authentication)和受权(Authorization)以限度对受爱护资源的拜访,例如 Token-based 认证和 OAuth 2.0 受权。举例:某个 API 没有进行任何认证和受权措施,攻击者能够通过发送歹意申请来拜访该 API 并窃取敏感数据。
  • 输出验证:对 API 的输出进行严格查看,防止输出参数中蕴含恶意代码或 SQL 注入等攻打代码。举例:某个 API 没有验证输出参数中的数据类型和长度,攻击者能够将歹意脚本注入字符串参数,并在服务器上执行该脚本。
  • 输入编码:确保对 API 输入进行适当的编码解决,以防止跨站点脚本(XSS)攻打。举例:某个 API 没有通过编码解决就间接输入 HTML 标签,攻击者能够通过发送构造性负载数据,绕过浏览器的平安机制,使其在受害者浏览器上执行。
  • SQL 注入进攻:确保对 API 的输出数据进行适当的检查和过滤,防止 SQL 注入攻打。举例:某个 API 没有对输出参数进行过滤和本义,攻击者能够通过输出构造性负载数据,批改 SQL 查问语句,从而逾越数据库查问获取敏感数据。
  • 数据保护:确保对 API 传输的数据进行加密和解密解决,爱护数据传输过程中不被窃取、篡改或重放攻打。举例:某个 API 采纳明文传输,攻击者能够获取 API 传输的数据包,通过模仿发送歹意数据来模仿非法的申请。
  • 日志监控:确保对 API 的操作日志进行记录、剖析和监控,以便及时发现异常操作和安全事件。举例:某个 API 没有记录日志,攻击者能够在未被检测到的状况下进行屡次歹意申请,导致服务器解体或数据泄露。
    API 平安测试清单十分重要,它能够帮忙开发团队充沛理解 API 存在的安全漏洞,并及时解决这些问题,进步 API 的安全性和可靠性。以人为本的修复是确保 API 平安的要害本周特地邀请了 Secure Code Warrior 的 CTO Matias Madou 承受采访,论述了以人为本的修复是确保 API 平安的要害。
    Madou 示意,如果一个企业想要保障 API 的平安,不能仅仅依附自动化和工具来解决问题。因为没有对于治理 API 行为的规范,所以开发团队必须经过培训后才可能更好地治理 API。尽管新的工具能够简化平安团队的工作流程,然而用户应用这些工具所犯的谬误是很难被预测的。因而,组织须要不仅仅依附工具,还要有经过培训的开发人员来对 API 的平安进行治理。

    例如,假如某个组织开发了一个须要登录的 API,他们应用了自动化工具来查看代码中是否存在 SQL 注入破绽。然而,这些工具可能无奈检测到其余类型的平安问题,例如访问控制或身份验证方面的问题。因而,该组织须要经过培训的开发人员来检查和解决这些问题,以确保 API 的完整性。
    尽管新的工具能够帮忙简化平安团队的流程,然而它们无奈齐全代替人类的思考和剖析能力。因而,须要有教训的业余人员来治理 API 的行为,以及解决可能存在的平安问题。
    小阑剖析:
    以人为本的修复是 API 安全性的要害,因为它可能确保开发人员具备正确的平安常识和技能,并且可能在编写代码时遵循最佳的平安实际,从而无效地预防和解决 API 平安问题。而且,以人为本的修复办法,能够帮忙开发团队更好地了解 API 的平安需要,并加强对其重要性的意识。经过培训和教育的开发人员,能够更加精通根底的平安常识和最佳实际,从而更好地了解 API 的平安问题,并且可能在编码期间,来确保 API 的安全性。
    感激 http://APIsecurity.io 提供相干内容

正文完
 0