欢送大家围观小阑精心整顿的API平安最新资讯,在这里你能看到最业余、最前沿的API平安技术和产业资讯,咱们提供对于寰球API平安资讯与信息安全深度察看。
本周,咱们带来的分享如下:

  • Booking.com爆出API破绽
  • 谷歌金融APP泄露API敏感数据
  • 一篇对于API平安测试清单的文章

  • 一篇对于“以人为本的修复是确保API平安的要害”文章

    Booking.com爆出API破绽

    IT Security Guru最近的考察发现,住宿预订服务http://Booking.com,在登录性能的OAuth实例,可能导致歹意攻击者接管用户的账号,而且黑客也可能以同样的手法,登录http://Booking.com子公司http://Kayak.com。http://Booking.com在收到Salt Security的破绽通报后,曾经迅速修复问题,并且确认未有黑客利用该破绽入侵平台。
    OAuth(Open Authorization)是目前的凋谢身份验证规范,使用户能够容许应用程序读取脸书或Google等账号材料进行身份验证,不便地登录应用程序。
    钻研人员发现http://Booking.com上因为不平安的OAuth设计缺点,使攻击者有机会接管以脸书登录的账号,而且一旦接管胜利,攻击者便能够混充用户执行任意操作,包含拜访所有集体资讯和其余敏感数据。
    这项破绽不只让应用脸书账号登录http://Booking.com的用户受到影响,即使用户是应用Google或其余登录形式创立账号,攻击者同样也能够应用脸书登录性能接管其http://Booking.com账号。攻击者只有向应用Google身份验证的http://Booking.com用户发送歹意连贯,因为受害者电子邮件地址雷同,http://Booking.com便会主动关联领有雷同电子邮件的账户容许登录。

    钻研人员提到,这类OAuth配置谬误对公司和用户造成重大影响,攻击者可能会代替受害者提出未经受权的申请、勾销预订,或是拜访敏感集体资讯,包含预约历史记录、集体爱好或是将来订单。
    尽管OAuth2(或其余规范机制)能够减少API安全性,但实现起来可能会很简单。因而,这揭示API开发人员必须小心谨慎,进步安全意识,确保应用OAuth2时必须正确配置。

    谷歌金融APP泄露API敏感数据

    近期来自Approov的报告宣称,对谷歌利用商店上的金融应用程序进行了钻研。该报告的关键点是,谷歌利用商店上92%的金融应用程序蕴含可提取的数据,例如API密钥。
    在这些泄露的应用程序中,透露了近四分之一的敏感数据,例如用于领取和货币账户转移的身份验证密钥。该钻研基于谷歌利用商店中美国、英国、法国和德国的“前200名”金融服务应用程序。

    Approov应用一个五点框架来辨认挪动应用程序攻击面:用户凭据应用程序完整性设施完整性API通道完整性服务破绽依据Approov的说法,大多数考察的应用程序在进攻针对设施环境的攻打方面都十分单薄,而且很难对中间人攻打进行无效防护。
    中间人攻打(Man-in-the-Middle Attack, MITM)是一种由来已久的网络入侵伎俩,并且当今依然有着宽泛的倒退空间。MITM攻打能够通过拦挡失常的网络通信数据,并进行数据篡改和嗅探,而通信的单方却毫不知情。在黑客技术越来越多的使用于以获取经济利益为指标的状况下时,MITM攻打成为对网银、网游、网上交易等最有威逼并且最具破坏性的一种攻击方式。
    小阑倡议,预防中间人攻打,能够采取以下措施:
    采纳动静ARP检测:DHCP Snooping 等管制操作来增强网络基础设施。
    采纳传输加密:SSL和TLS能够阻止攻击者应用和剖析网络流量。像Google 等公司现在都有高级的网站搜索引擎优化,默认状态下都提供 HTTPS。
    应用CASBs云拜访平安代理:CASBs 能够提供加密、访问控制、异样爱护以及数据失落爱护等一系列性能。
    创立RASP实时应用程序自我爱护:内置于应用程序中,用来避免实时攻打。
    阻止自签名证书:自签名证书很容易伪造,然而目前还没有撤销它们的机制,所以应该应用无效证书颁发机构提供的证书。
    强制应用 SSLpinning:这是反抗 MiTM 攻打的另一种形式。应用无效证书颁发机构提供的证书是第一步,它是通过返回的受信赖的根证书以及是否与主机名匹配来验证该服务器提供的证书的有效性。通过 SSL pinning能够验证客户端查看服务器证书的有效性。

    对于API平安测试清单

    最近外国平安研究员DANA发现了Shieldify的一个GitHub存储库,其中蕴含一个API平安清单,列出了在设计、测试和公布应用程序编程接口时要思考的最重要对策。尽管它不是目前最全面的REST API平安测试清单,但它很好地涵盖了蓝队须要思考的许多重要事项。

    API平安测试清单(局部)如下:

  • 认证和受权:确保API要求身份验证(Authentication)和受权(Authorization)以限度对受爱护资源的拜访,例如Token-based认证和OAuth 2.0受权。举例:某个API没有进行任何认证和受权措施,攻击者能够通过发送歹意申请来拜访该API并窃取敏感数据。
  • 输出验证:对API的输出进行严格查看,防止输出参数中蕴含恶意代码或SQL注入等攻打代码。举例:某个API没有验证输出参数中的数据类型和长度,攻击者能够将歹意脚本注入字符串参数,并在服务器上执行该脚本。
  • 输入编码:确保对API输入进行适当的编码解决,以防止跨站点脚本(XSS)攻打。举例:某个API没有通过编码解决就间接输入HTML标签,攻击者能够通过发送构造性负载数据,绕过浏览器的平安机制,使其在受害者浏览器上执行。
  • SQL注入进攻:确保对API的输出数据进行适当的检查和过滤,防止SQL注入攻打。举例:某个API没有对输出参数进行过滤和本义,攻击者能够通过输出构造性负载数据,批改SQL查问语句,从而逾越数据库查问获取敏感数据。
  • 数据保护:确保对API传输的数据进行加密和解密解决,爱护数据传输过程中不被窃取、篡改或重放攻打。举例:某个API采纳明文传输,攻击者能够获取API传输的数据包,通过模仿发送歹意数据来模仿非法的申请。
  • 日志监控:确保对API的操作日志进行记录、剖析和监控,以便及时发现异常操作和安全事件。举例:某个API没有记录日志,攻击者能够在未被检测到的状况下进行屡次歹意申请,导致服务器解体或数据泄露。
    API平安测试清单十分重要,它能够帮忙开发团队充沛理解API存在的安全漏洞,并及时解决这些问题,进步API的安全性和可靠性。以人为本的修复是确保API平安的要害本周特地邀请了Secure Code Warrior的CTO Matias Madou承受采访,论述了以人为本的修复是确保API平安的要害。
    Madou示意,如果一个企业想要保障API的平安,不能仅仅依附自动化和工具来解决问题。因为没有对于治理API行为的规范,所以开发团队必须经过培训后才可能更好地治理API。尽管新的工具能够简化平安团队的工作流程,然而用户应用这些工具所犯的谬误是很难被预测的。因而,组织须要不仅仅依附工具,还要有经过培训的开发人员来对API的平安进行治理。

    例如,假如某个组织开发了一个须要登录的API,他们应用了自动化工具来查看代码中是否存在SQL注入破绽。然而,这些工具可能无奈检测到其余类型的平安问题,例如访问控制或身份验证方面的问题。因而,该组织须要经过培训的开发人员来检查和解决这些问题,以确保API的完整性。
    尽管新的工具能够帮忙简化平安团队的流程,然而它们无奈齐全代替人类的思考和剖析能力。因而,须要有教训的业余人员来治理API的行为,以及解决可能存在的平安问题。
    小阑剖析:
    以人为本的修复是API安全性的要害,因为它可能确保开发人员具备正确的平安常识和技能,并且可能在编写代码时遵循最佳的平安实际,从而无效地预防和解决API平安问题。而且,以人为本的修复办法,能够帮忙开发团队更好地了解API的平安需要,并加强对其重要性的意识。经过培训和教育的开发人员,能够更加精通根底的平安常识和最佳实际,从而更好地了解API的平安问题,并且可能在编码期间,来确保API的安全性。
    感激 http://APIsecurity.io 提供相干内容