关于mysql:API-NEWS-Jetpack-WordPress插件存在API漏洞

欢送大家围观小阑精心整顿的API平安最新资讯，在这里你能看到最业余、最前沿的API平安技术和产业资讯，咱们提供对于寰球API平安资讯与信息安全深度察看。
本周，咱们带来的分享如下：
一篇对于Jetpack WordPress插件存在API破绽的文章
一篇对于如何应答一直增长的API安全漏洞的文章
一篇对于API安全性是事不宜迟的文章
工具：应用Burp Suite查找GraphQL破绽

Jetpack WordPress插件API破绽影响数百万个网站

风行的WordPress插件Jetpack强制对所有装置进行更新，以解决插件中的一个要害API破绽。该插件在WordPress用户中十分受欢迎，寰球下载量超过500万次。自2012年首次公布2.0版以来，所有版本都存在这个破绽。

Jetpack的官网布告中对这个破绽的性质提供的细节很少，只是指出它影响到一个API，并可能容许对受影响主机的文件系统进行拜访。文章列出了所有受影响的版本，但坚称目前没有已知的对该破绽的利用。用户被要求确保他们正在应用最新的插件版本，即Jetpack 12.1.1。
小阑总结：这个破绽对于受影响的WordPress站点来说是十分危险的，因为它可能容许攻击者利用API破绽，从而拜访站点上的文件系统。如果攻打胜利，攻击者能够读取、批改或删除站点上的数据。这可能导致站点解体、数据泄露或损坏，对站点和其用户造成极大的损失。
为了预防这个破绽，所有应用Jetpack插件的WordPress站点都应该尽快更新到最新版本Jetpack 12.1.1。此外，站点管理员还应该遵循良好的平安实际，如装置平安插件，设置强明码和多因素身份验证，以及定期备份站点数据以应答意外状况。此外，站点管理员还应该保持警惕，防止关上或下载来自未知起源的文件和链接，以缩小站点蒙受攻打的危险。

翻新爱护：2023年应答API安全漏洞的前沿策略

在本周探讨API平安挑战的两篇文章中的第一篇中，介绍了Katrina Thompson的想法。
作者强调了API在构建当今数字基础设施方面的重要性。可怜的是，这减少了攻击者的危险，他们意识到API在攻打组织时代表了“最佳点”。
依据这篇文章，最近的一项钻研表明，97%的企业领导者将API的应用归类为对将来增长至关重要，另一项钻研表明，应用API的均匀数量比去年增长了82%。

笔者指出了五种类型的API安全漏洞，并提出了解决办法，具体如下：
过于宽松的API：API常常能够拜访比它们应该拜访的更多的数据，并且通常以比它们应该更高的权限执行。API应被授予执行其业务指标所需的最低权限。
代码中的谬误：正如读者所知，许多API破绽是因为代码库中的缺点造成的，导致BOLA、BFLA和身份验证中断等破绽。始终确保扫描API代码库以查找破绽，并在任何重大更改时手动审查。
速度超过平安：与API代码中的谬误主题相结合的是偏爱速度而不是安全性的主题。在许多状况下，业务需要往往占主导地位，API团队在充沛验证安全性之前公布API。这会导致生产中代价昂扬的中断，包含低廉的修补程序和返工。在开发的晚期阶段解决平安问题要无效得多。
公开和暗藏的API：时事通信的读者相熟影子和僵尸API给平安团队带来的问题。如果您不晓得本人领有和操作的API，则无奈爱护。
每个API都是惟一的：确保您理解爱护每个 API 的特定需要，因为它们可能具备十分不同的特色和平安要求。
小阑解读：
要防止API破绽并进步防范措施：
及时更新API：确保你应用的所有插件、库和框架的API都是最新版本。
施行受权和访问控制：限度API的拜访仅限于通过受权和验证的用户或应用程序，应用令牌、密钥或其余访问控制机制，确保只有非法用户能力应用API。
输出验证和过滤：在解决API申请时，对输出数据进行严格的验证和过滤，确保输出数据合乎预期格局和类型，以避免歹意数据注入或其余平安威逼。
强化身份验证：为API拜访施行弱小的身份验证机制，如多因素身份验证、OAuth等，避免未经受权的拜访和歹意流动。
监控和日志记录：实时监控API的应用状况，并记录重要操作和事件，这样能够疾速检测异样行为并采取适当的响应措施。
平安审计和代码审查：进行定期的平安审计和代码审查，查看潜在的破绽和安全隐患；修复发现的问题，并确保API的代码品质和安全性。
平安培训和意识：提供平安培训，教育开发人员、管理员和用户无关API平安最佳实际和常见攻击方式，加强安全意识，及时辨认和应答平安威逼。

以后最紧迫的工作：确保API的安全性

这一篇文章将介绍印度CIO.com和Indiatimes.com上多位平安专家的见解。

寰球信息安全和网络安全主管Nikhil Chawla认为，人员和威逼给API平安带来了许多挑战。在许多状况下，开发人员没有充沛意识到对API可能带来的威逼，漠视了重要的主题，如速率限度、DDoS攻打和跨站脚本攻打。通过更好地了解这些问题，他们能够在爱护API方面获得更大胜利。CSB银行有限公司首席信息安全官巴比塔·B·P重点关注API可见性这一重要话题。在大规模确保API平安方面，要害是确保以自动化形式监控API，并尽量减少对手动发现和审计API的依赖。Radware云平安服务销售总监Navneet Daga总结道，进步API安全性须要平安和开发团队之间增强合作，API安全性不是一个单点解决方案，而是须要分层策略进行深度进攻。
小阑倡议：API在古代应用程序中起着关键作用，其安全性的重要性不容忽视：
数据保护：API作为不同应用程序之间的桥梁，承载着大量敏感数据的传输和替换。确保API的安全性能够预防数据泄露、篡改或未经受权的拜访，爱护用户和组织的重要信息。
业务连续性：许多企业和组织依赖于API来提供外围服务和性能，如果API存在破绽或受到攻打，可能导致系统解体、服务中断或无奈失常运行，对业务造成重大影响。
用户隐衷爱护：API通常须要与用户进行交互，波及到用户个人信息的解决和存储，确保API的安全性能够避免用户隐衷泄露和滥用，加强用户对产品和服务的信任感。
避免歹意攻打：歹意攻击者经常利用API的弱点进行攻打，例如通过API暴力破解明码、注入恶意代码或发动拒绝服务攻打；增强API安全性能够缩小潜在的攻击面，进步零碎的抵挡能力。
合规要求：许多行业和法规对数据的安全性和隐衷爱护有严格的要求，例如金融、医疗和集体信息管理畛域，放弃API的安全性是满足合规要求的重要一步。

应用Burp Suite查找GraphQL破绽

Port Swigger提供了一个对于应用他们的Burp Suite工具来辨认GraphQL破绽。

利用 GraphQL API 的第一步是发现端点。这能够应用Burp Suite手动实现，也能够通过将通用查问发送到常见的GrahpQL API端点来实现，如下所示：/graphql/api/api/graphql/graphql/api/graphql/graphql确定终结点后，能够确定终结点反对的不同申请办法，包含反对的数据类型。下一步是辨认未经污染的参数，并发现通过这些参数注入歹意内容的不同办法。通过发现架构信息，能够深刻理解 API 的构造，并容许攻击者深刻理解如何进一步攻打 API。Burp Suite还提供了一个扩大，能够主动执行大部分发现过程，这是风行的扩大。InQL是一个Burp Suite扩大，可帮忙您平安地审核GraphQL API。
它收回一个内省查问，申请给定 URL 的所有查问和渐变（通过指向实时终结点的链接或通过 JSON 文件），并提供结构化视图以帮忙您浏览后果。从平安角度来看，文章最初提出了一些爱护GraphQL API 的有用倡议：在API终端节点上禁用侦测，除非有明确且易于了解的理由来启用它，这能够避免攻击者理解终结点的工作原理。查看API的架构，确保它不会向公众公开意外字段。确保禁用倡议，以避免攻击者应用工具收集无关基础架构的信息。确保您的API架构不会公开公有用户字段，例如PII等信息。
感激 APIsecurity.io 提供相干内容
对于星阑
星阑科技基于大数据分析及AI智能化技术体系，助力企业应答数字世界的平安危险。凭借继续翻新的平安理念和成果导向的攻防能力，星阑科技倒退成为国内数据智能、信息安全畛域的双料科技公司。为解决流动数据安全问题，星阑科技从数据攻防、数据分析、数据治理等不同场景登程，提供全景化数据流转监测、利用数据分析、API平安治理、高级威逼检测等解决方案，构建全链路流动数据保护体系。星阑科技外围产品——萤火流动数据分析平台，可针对用户异构、多模态数据提供危险监测、合规性治理、数据建模、用户追踪、行为关联、AI解释与推理等一体化数据分析能力，为企业的数据可观测性、数据合规、威逼监测、利用治理、业务洞察等场景提供全面反对。