首页 > 其他分享 >API NEWS | Jetpack WordPress插件存在API漏洞

API NEWS | Jetpack WordPress插件存在API漏洞

时间:2023-09-06 15:36:26浏览次数:43  
标签:插件 漏洞 Jetpack 用户 安全 API 安全性

欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。

本周,我们带来的分享如下:

  • 一篇关于Jetpack WordPress插件存在API漏洞的文章
  • 一篇关于如何应对不断增长的API安全漏洞的文章
  • 一篇关于API安全性是当务之急的文章
  • 工具:使用Burp Suite查找GraphQL漏洞

Jetpack WordPress插件API漏洞影响数百万个网站

流行的WordPress插件Jetpack强制对所有安装进行更新,以解决插件中的一个关键API漏洞。该插件在WordPress用户中非常受欢迎,全球下载量超过500万次。自2012年首次发布2.0版以来,所有版本都存在这个漏洞。

API NEWS | Jetpack WordPress插件存在API漏洞_API

Jetpack的官方公告中对这个漏洞的性质提供的细节很少,只是指出它影响到一个API,并可能允许对受影响主机的文件系统进行访问。文章列出了所有受影响的版本,但坚称目前没有已知的对该漏洞的利用。

用户被要求确保他们正在使用最新的插件版本,即Jetpack 12.1.1。

小阑总结:

  • 这个漏洞对于受影响的WordPress站点来说是非常危险的,因为它可能允许攻击者利用API漏洞,从而访问站点上的文件系统。如果攻击成功,攻击者可以读取、修改或删除站点上的数据。这可能导致站点崩溃、数据泄露或损坏,对站点和其用户造成极大的损失。
  • 为了预防这个漏洞,所有使用Jetpack插件的WordPress站点都应该尽快更新到最新版本Jetpack 12.1.1。此外,站点管理员还应该遵循良好的安全实践,如安装安全插件,设置强密码和多因素身份验证,以及定期备份站点数据以应对意外情况。此外,站点管理员还应该保持警惕,避免打开或下载来自未知来源的文件和链接,以减少站点遭受攻击的风险。

创新保护:2023年应对API安全漏洞的前沿策略

在本周讨论API安全挑战的两篇文章中的第一篇中,介绍了Katrina Thompson的想法。作者强调了API在构建当今数字基础设施方面的重要性。不幸的是,这增加了攻击者的风险,他们意识到API在攻击组织时代表了“最佳点”。根据这篇文章,最近的一项研究表明,97%的企业领导者将API的使用归类为对未来增长至关重要,另一项研究表明,使用API的平均数量比去年增长了82%。

API NEWS | Jetpack WordPress插件存在API漏洞_GraphQL_02

笔者指出了五种类型的API安全漏洞,并提出了处理方法,具体如下:

  • 过于宽松的API:API经常可以访问比它们应该访问的更多的数据,并且通常以比它们应该更高的权限执行。API应被授予执行其业务目标所需的最低权限。
  • 代码中的错误:正如读者所知,许多API漏洞是由于代码库中的缺陷造成的,导致BOLA、BFLA和身份验证中断等漏洞。始终确保扫描API代码库以查找漏洞,并在任何重大更改时手动审查。
  • 速度超过安全:与API代码中的错误主题相结合的是偏爱速度而不是安全性的主题。在许多情况下,业务需求往往占主导地位,API团队在充分验证安全性之前发布API。这会导致生产中代价高昂的中断,包括昂贵的修补程序和返工。在开发的早期阶段解决安全问题要有效得多。
  • 公开和隐藏的API:时事通讯的读者熟悉影子和僵尸API给安全团队带来的问题。如果您不知道自己拥有和操作的API,则无法保护。
  • 每个API都是唯一的:确保您了解保护每个 API 的特定需求,因为它们可能具有非常不同的特征和安全要求。

小阑解读:

要避免API漏洞并提高防范措施:

  • 及时更新API:确保你使用的所有插件、库和框架的API都是最新版本。
  • 实施授权和访问控制:限制API的访问仅限于经过授权和验证的用户或应用程序,使用令牌、密钥或其他访问控制机制,确保只有合法用户才能使用API。
  • 输入验证和过滤:在处理API请求时,对输入数据进行严格的验证和过滤,确保输入数据符合预期格式和类型,以防止恶意数据注入或其他安全威胁。
  • 强化身份验证:为API访问实施强大的身份验证机制,如多因素身份验证、OAuth等,防止未经授权的访问和恶意活动。
  • 监控和日志记录:实时监控API的使用情况,并记录重要操作和事件,这样可以快速检测异常行为并采取适当的响应措施。
  • 安全审计和代码审查:进行定期的安全审计和代码审查,检查潜在的漏洞和安全隐患;修复发现的问题,并确保API的代码质量和安全性。
  • 安全培训和意识:提供安全培训,教育开发人员、管理员和用户有关API安全最佳实践和常见攻击方式,增强安全意识,及时识别和应对安全威胁。

当前最紧迫的任务:确保API的安全性

这一篇文章将介绍印度CIO.com和Indiatimes.com上多位安全专家的见解。

API NEWS | Jetpack WordPress插件存在API漏洞_API_03

全球信息安全和网络安全主管Nikhil Chawla认为,人员和威胁给API安全带来了许多挑战。在许多情况下,开发人员没有充分意识到对API可能带来的威胁,忽视了重要的主题,如速率限制、DDoS攻击和跨站脚本攻击。通过更好地理解这些问题,他们可以在保护API方面取得更大成功。

CSB银行有限公司首席信息安全官巴比塔·B·P重点关注API可见性这一重要话题。在大规模确保API安全方面,关键是确保以自动化方式监控API,并尽量减少对手动发现和审计API的依赖。

Radware云安全服务销售总监Navneet Daga总结道,提高API安全性需要安全和开发团队之间加强协作,API安全性不是一个单点解决方案,而是需要分层策略进行深度防御。

小阑建议:

API在现代应用程序中起着关键作用,其安全性的重要性不容忽视:

  • 数据保护:API作为不同应用程序之间的桥梁,承载着大量敏感数据的传输和交换。确保API的安全性可以预防数据泄露、篡改或未经授权的访问,保护用户和组织的重要信息。
  • 业务连续性:许多企业和组织依赖于API来提供核心服务和功能,如果API存在漏洞或受到攻击,可能导致系统崩溃、服务中断或无法正常运行,对业务造成严重影响。
  • 用户隐私保护:API通常需要与用户进行交互,涉及到用户个人信息的处理和存储,确保API的安全性可以防止用户隐私泄露和滥用,增强用户对产品和服务的信任感。
  • 防止恶意攻击:恶意攻击者常常利用API的弱点进行攻击,例如通过API暴力破解密码、注入恶意代码或发起拒绝服务攻击;加强API安全性可以减少潜在的攻击面,提高系统的抵御能力。
  • 合规要求:许多行业和法规对数据的安全性和隐私保护有严格的要求,例如金融、医疗和个人信息管理领域,保持API的安全性是满足合规要求的重要一步。

使用Burp Suite查找GraphQL漏洞

Port Swigger提供了一个关于使用他们的Burp Suite工具来识别GraphQL漏洞。

API NEWS | Jetpack WordPress插件存在API漏洞_GraphQL_04

利用 GraphQL API 的第一步是发现端点。这可以使用Burp Suite手动完成,也可以通过将通用查询发送到常见的GrahpQL API端点来完成,如下所示:

/graphql

/api

/api/graphql

/graphql/api

/graphql/graphql

确定终结点后,可以确定终结点支持的不同请求方法,包括支持的数据类型。

下一步是识别未经净化的参数,并发现通过这些参数注入恶意内容的不同方法。通过发现架构信息,可以深入了解 API 的结构,并允许攻击者深入了解如何进一步攻击 API。Burp Suite还提供了一个扩展,可以自动执行大部分发现过程,这是流行的扩展。

InQL是一个Burp Suite扩展,可帮助您安全地审核GraphQL API。它发出一个内省查询,请求给定 URL 的所有查询和突变(通过指向实时终结点的链接或通过 JSON 文件),并提供结构化视图以帮助您浏览结果。

从安全角度来看,文章最后提出了一些保护GraphQL API 的有用建议:

  • 在API终端节点上禁用侦测,除非有明确且易于理解的理由来启用它,这可以防止攻击者了解终结点的工作原理。
  • 查看API的架构,确保它不会向公众公开意外字段。
  • 确保禁用建议,以防止攻击者使用工具收集有关基础架构的信息。
  • 确保您的API架构不会公开私有用户字段,例如PII等信息。

感谢 APIsecurity.io 提供相关内容


关于星阑

星阑科技基于大数据分析及AI智能化技术体系,助力企业应对数字世界的安全风险。凭借持续创新的安全理念和效果导向的攻防能力,星阑科技发展成为国内数据智能、信息安全领域的双料科技公司。为解决流动数据安全问题,星阑科技从数据攻防、数据分析、数据治理等不同场景出发,提供全景化数据流转监测、应用数据分析、API安全治理、高级威胁检测等解决方案,构建全链路流动数据保护体系。

星阑科技核心产品——萤火流动数据分析平台,可针对用户异构、多模态数据提供风险监测、合规性管理、数据建模、用户追踪、行为关联、AI解释与推理等一体化数据分析能力,为企业的数据可观测性、数据合规、威胁监测、应用治理、业务洞察等场景提供全面支持。

标签:插件,漏洞,Jetpack,用户,安全,API,安全性
From: https://blog.51cto.com/u_15867266/7387601

相关文章

  • 你折腾一天都装不上的插件,函数计算部署 Stable Diffusion 都内置了
    在进行函数计算StableDiffusion答疑的过程中,遇到很多同学在装一些插件的过程中遇到了难题,有一些需要安装一些依赖,有一些需要写一些代码,很多时候安装一个插件就能折腾几天,我们收集了很多同学需要的插件,这一次把比较难装的StableDiffusion插件都装好了。可以根据自己的需要自行......
  • Revit API创建几何实体Solid并找到与之相交的元素
    几何实体的创建方法之一:构成封闭底面,指定拉伸方向与拉伸高度。GeometryCreationUtilities//自创几何实体相交法[TransactionAttribute(Autodesk.Revit.Attributes.TransactionMode.Manual)]publicclassFindIntersectWallsByGeometry:IExternalCommand{publicResult......
  • BetterScroll插件之observeDOM
    在实现移动端页面的上下滑动过程,发现只有进行页面刷新然后从web端切换到移动端,才能够进行滑动,这要从BScroll的原理说起,因为BScroll进行滑动的条件是内容的模块大小需要大于容器的大小,但是明明已经内容大于容器了,为什么还会无法进行滑动呢,原因是在页面一开始加载时没有获取到数据填......
  • 在线CAD的SDK如何集成到网页系统-关于MxCad项目二次开发插件集成
    前言1.很多单位拥有着数量庞大的DWG图纸,部门之间传统的图纸管理和沟通,效率较为低下,而将CAD图纸的浏览,编辑,审图,签章等工作集成到自己的网页系统,将会显著提高工作效率和企业的竞争力。集成到网页系统需要我们在后台服务器部署webcadsdk,部署后的操作界面效果如下: 2.在线CAD功......
  • Swagger常见注解@API、@ApiOperation、@ApiParam等
    Swagger2一些常用注解最近遇到了一个使用swagger来生成接口文档的项目,在controller看到了一些没用过的注解(@API、@ApiOperation等),遂记录一下@API使用在类上,表明是swagger资源,@API拥有两个属性:value、tags,源码如下//Iftagsisnotused,thisvaluewillbeusedtoset......
  • maven插件之Dependency:analyze,去掉无用maven依赖
    前言完成新功能的开发后,在发包前组长告诉我要检查maven工程的依赖,并告诉我相关指令,此文记录一下使用方式正文简介maven官网之Dependency插件Dependency插件提供了操纵artifact的能力,可以复制以及拆包本地或远程仓库的artifact到指定地点。Dependency有很多的goal,这里介绍的是de......
  • 让API开发更高效——Apipost
    作为一款专为API开发设计的工具,Apipost凭借其强大的功能和高效的特点,正逐渐受到越来越多开发者的欢迎。本文将向您详细介绍Apipost的独特优势以及如何让您的API开发更加高效。Apipost适用于所有与API开发相关的从业者,包括但不限于前端工程师、后端工程师、测试工程师和产品经理。无......
  • 让API开发更高效——Apipost
    作为一款专为API开发设计的工具,Apipost凭借其强大的功能和高效的特点,正逐渐受到越来越多开发者的欢迎。本文将向您详细介绍Apipost的独特优势以及如何让您的API开发更加高效。Apipost适用于所有与API开发相关的从业者,包括但不限于前端工程师、后端工程师、测试工程师和产品经理。......
  • 运用手机运营商二要素Api接口,守护您的账户和隐私,让您安心使用!
    随着移动互联网的普及,我们的生活离不开手机,手机成为了我们生活中不可或缺的一部分。但是随着移动支付的普及,手机支付在我们的生活中也变得越来越重要。手机支付是一种方便快捷的支付方式,但是也存在一些安全隐患。如果我们在使用手机支付时不小心泄露了我们的账户和隐私,那么后果不......
  • FastAPI.7
    FastAPI之连接数据库1.databases.pyfromsqlalchemyimportcreate_enginefromsqlalchemy.ormimportsessionmakerfromsqlalchemy.ext.declarativeimportdeclarative_baseSQLALCHEMY_DATABASE_URL='mysql+pymysql://username:password@localhost/fastapi_demo'......