欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
本周,我们带来的分享如下:
- 一篇关于Jetpack WordPress插件存在API漏洞的文章
- 一篇关于如何应对不断增长的API安全漏洞的文章
- 一篇关于API安全性是当务之急的文章
- 工具:使用Burp Suite查找GraphQL漏洞
Jetpack WordPress插件API漏洞影响数百万个网站
流行的WordPress插件Jetpack强制对所有安装进行更新,以解决插件中的一个关键API漏洞。该插件在WordPress用户中非常受欢迎,全球下载量超过500万次。自2012年首次发布2.0版以来,所有版本都存在这个漏洞。
Jetpack的官方公告中对这个漏洞的性质提供的细节很少,只是指出它影响到一个API,并可能允许对受影响主机的文件系统进行访问。文章列出了所有受影响的版本,但坚称目前没有已知的对该漏洞的利用。
用户被要求确保他们正在使用最新的插件版本,即Jetpack 12.1.1。
小阑总结:
- 这个漏洞对于受影响的WordPress站点来说是非常危险的,因为它可能允许攻击者利用API漏洞,从而访问站点上的文件系统。如果攻击成功,攻击者可以读取、修改或删除站点上的数据。这可能导致站点崩溃、数据泄露或损坏,对站点和其用户造成极大的损失。
- 为了预防这个漏洞,所有使用Jetpack插件的WordPress站点都应该尽快更新到最新版本Jetpack 12.1.1。此外,站点管理员还应该遵循良好的安全实践,如安装安全插件,设置强密码和多因素身份验证,以及定期备份站点数据以应对意外情况。此外,站点管理员还应该保持警惕,避免打开或下载来自未知来源的文件和链接,以减少站点遭受攻击的风险。
创新保护:2023年应对API安全漏洞的前沿策略
在本周讨论API安全挑战的两篇文章中的第一篇中,介绍了Katrina Thompson的想法。作者强调了API在构建当今数字基础设施方面的重要性。不幸的是,这增加了攻击者的风险,他们意识到API在攻击组织时代表了“最佳点”。根据这篇文章,最近的一项研究表明,97%的企业领导者将API的使用归类为对未来增长至关重要,另一项研究表明,使用API的平均数量比去年增长了82%。
笔者指出了五种类型的API安全漏洞,并提出了处理方法,具体如下:
- 过于宽松的API:API经常可以访问比它们应该访问的更多的数据,并且通常以比它们应该更高的权限执行。API应被授予执行其业务目标所需的最低权限。
- 代码中的错误:正如读者所知,许多API漏洞是由于代码库中的缺陷造成的,导致BOLA、BFLA和身份验证中断等漏洞。始终确保扫描API代码库以查找漏洞,并在任何重大更改时手动审查。
- 速度超过安全:与API代码中的错误主题相结合的是偏爱速度而不是安全性的主题。在许多情况下,业务需求往往占主导地位,API团队在充分验证安全性之前发布API。这会导致生产中代价高昂的中断,包括昂贵的修补程序和返工。在开发的早期阶段解决安全问题要有效得多。
- 公开和隐藏的API:时事通讯的读者熟悉影子和僵尸API给安全团队带来的问题。如果您不知道自己拥有和操作的API,则无法保护。
- 每个API都是唯一的:确保您了解保护每个 API 的特定需求,因为它们可能具有非常不同的特征和安全要求。
小阑解读:
要避免API漏洞并提高防范措施:
- 及时更新API:确保你使用的所有插件、库和框架的API都是最新版本。
- 实施授权和访问控制:限制API的访问仅限于经过授权和验证的用户或应用程序,使用令牌、密钥或其他访问控制机制,确保只有合法用户才能使用API。
- 输入验证和过滤:在处理API请求时,对输入数据进行严格的验证和过滤,确保输入数据符合预期格式和类型,以防止恶意数据注入或其他安全威胁。
- 强化身份验证:为API访问实施强大的身份验证机制,如多因素身份验证、OAuth等,防止未经授权的访问和恶意活动。
- 监控和日志记录:实时监控API的使用情况,并记录重要操作和事件,这样可以快速检测异常行为并采取适当的响应措施。
- 安全审计和代码审查:进行定期的安全审计和代码审查,检查潜在的漏洞和安全隐患;修复发现的问题,并确保API的代码质量和安全性。
- 安全培训和意识:提供安全培训,教育开发人员、管理员和用户有关API安全最佳实践和常见攻击方式,增强安全意识,及时识别和应对安全威胁。
当前最紧迫的任务:确保API的安全性
这一篇文章将介绍印度CIO.com和Indiatimes.com上多位安全专家的见解。
全球信息安全和网络安全主管Nikhil Chawla认为,人员和威胁给API安全带来了许多挑战。在许多情况下,开发人员没有充分意识到对API可能带来的威胁,忽视了重要的主题,如速率限制、DDoS攻击和跨站脚本攻击。通过更好地理解这些问题,他们可以在保护API方面取得更大成功。
CSB银行有限公司首席信息安全官巴比塔·B·P重点关注API可见性这一重要话题。在大规模确保API安全方面,关键是确保以自动化方式监控API,并尽量减少对手动发现和审计API的依赖。
Radware云安全服务销售总监Navneet Daga总结道,提高API安全性需要安全和开发团队之间加强协作,API安全性不是一个单点解决方案,而是需要分层策略进行深度防御。
小阑建议:
API在现代应用程序中起着关键作用,其安全性的重要性不容忽视:
- 数据保护:API作为不同应用程序之间的桥梁,承载着大量敏感数据的传输和交换。确保API的安全性可以预防数据泄露、篡改或未经授权的访问,保护用户和组织的重要信息。
- 业务连续性:许多企业和组织依赖于API来提供核心服务和功能,如果API存在漏洞或受到攻击,可能导致系统崩溃、服务中断或无法正常运行,对业务造成严重影响。
- 用户隐私保护:API通常需要与用户进行交互,涉及到用户个人信息的处理和存储,确保API的安全性可以防止用户隐私泄露和滥用,增强用户对产品和服务的信任感。
- 防止恶意攻击:恶意攻击者常常利用API的弱点进行攻击,例如通过API暴力破解密码、注入恶意代码或发起拒绝服务攻击;加强API安全性可以减少潜在的攻击面,提高系统的抵御能力。
- 合规要求:许多行业和法规对数据的安全性和隐私保护有严格的要求,例如金融、医疗和个人信息管理领域,保持API的安全性是满足合规要求的重要一步。
使用Burp Suite查找GraphQL漏洞
Port Swigger提供了一个关于使用他们的Burp Suite工具来识别GraphQL漏洞。
利用 GraphQL API 的第一步是发现端点。这可以使用Burp Suite手动完成,也可以通过将通用查询发送到常见的GrahpQL API端点来完成,如下所示:
/graphql
/api
/api/graphql
/graphql/api
/graphql/graphql
确定终结点后,可以确定终结点支持的不同请求方法,包括支持的数据类型。
下一步是识别未经净化的参数,并发现通过这些参数注入恶意内容的不同方法。通过发现架构信息,可以深入了解 API 的结构,并允许攻击者深入了解如何进一步攻击 API。Burp Suite还提供了一个扩展,可以自动执行大部分发现过程,这是流行的扩展。
InQL是一个Burp Suite扩展,可帮助您安全地审核GraphQL API。它发出一个内省查询,请求给定 URL 的所有查询和突变(通过指向实时终结点的链接或通过 JSON 文件),并提供结构化视图以帮助您浏览结果。
从安全角度来看,文章最后提出了一些保护GraphQL API 的有用建议:
- 在API终端节点上禁用侦测,除非有明确且易于理解的理由来启用它,这可以防止攻击者了解终结点的工作原理。
- 查看API的架构,确保它不会向公众公开意外字段。
- 确保禁用建议,以防止攻击者使用工具收集有关基础架构的信息。
- 确保您的API架构不会公开私有用户字段,例如PII等信息。
感谢 APIsecurity.io 提供相关内容
关于星阑
星阑科技基于大数据分析及AI智能化技术体系,助力企业应对数字世界的安全风险。凭借持续创新的安全理念和效果导向的攻防能力,星阑科技发展成为国内数据智能、信息安全领域的双料科技公司。为解决流动数据安全问题,星阑科技从数据攻防、数据分析、数据治理等不同场景出发,提供全景化数据流转监测、应用数据分析、API安全治理、高级威胁检测等解决方案,构建全链路流动数据保护体系。
星阑科技核心产品——萤火流动数据分析平台,可针对用户异构、多模态数据提供风险监测、合规性管理、数据建模、用户追踪、行为关联、AI解释与推理等一体化数据分析能力,为企业的数据可观测性、数据合规、威胁监测、应用治理、业务洞察等场景提供全面支持。
标签:插件,漏洞,Jetpack,用户,安全,API,安全性 From: https://blog.51cto.com/u_15867266/7387601