API NEWS | 要加强对API安全的重视

本周，我们带来的分享如下：

•  BlackHat欧洲会议披露了AWS API网关的一个漏洞，该漏洞允许潜在的缓存投毒攻击

•  Kubernetes API访问强化指南

•  《福布斯》发布一份报告：《加强对API安全的重视》

•  关于API安全性如何阻碍应用程序交付

在最近的BlackHat欧洲安全会议上，网络安全研究员Daniel Thatcher披露了允许HTTP走私的AWS API网关的相关漏洞。目前，AWS还没有对此做出回应，也没有对其API网关的潜在漏洞发表言论。

“HTTP请求走私主要用来干扰网站处理从一个或多个用户收到的HTTP请求序列的方式。请求走私漏洞通常被认为是高危漏洞，它允许攻击者绕过安全控制，获得对敏感数据的未经授权的访问，并直接危及其他应用程序用户。”

引发AWS API网关漏洞的攻击非常简单：Thatcher在HTTP请求的报头中添加了X-Forwarded-For abcd: z，绕过了AWS API网关中的AWS IP地址限制策略。

最严重的是，该漏洞可能允许攻击者利用HTTP报头走私，将虚假报头偷运到后端，并对服务器发起缓存投毒攻击。这反过来又允许攻击者创建自己的API并返回恶意内容。该漏洞并不是最容易被利用的一个。

AWS随后修复了这一漏洞。

在现有的Kubernetes部署中，“控制层”是Kubernetes实例中至关重要的一个组件，Kubernetes API是实例中执行的所有操作的看门人。因此，必须使用强身份验证和授权技术，需严格控制对该API的访问。

• Kubernetes API网络访问最佳实践

• Kubernetes API用户帐户管理最佳实践

• Kubernetes API访问身份验证最佳实践

• Kubernetes API访问授权最佳实践

• 保障Kubernetes Kubelet访问安全

• API访问控制的额外安全考虑

近期，《福布斯》的一篇专题文章讨论了为何应该认真对待API安全问题，强调了API安全对现代经济的重要性。

• 将所有API视为一种威胁

• 保持一个准确的、最新的API清单

• 检查现有的API

• 认真对待DevSecOps

DarkReading发表了一篇文章阐述为什么API安全会阻碍应用程序交付。

根据Cloudentity研究的重要发现，几乎所有组织都会出现因担心API环境的安全，而延迟发布新的应用程序或更新版本。近44%的人表示他们遭遇过API安全问题，如数据泄漏和私人信息暴露。

• API安全的财务成本过高

• 应用程序交付时间过快

• API安全意识的缺乏

该报告得出结论，API安全在接下来的几年会得到更多关注，预算也会相应地增加。

最后，关于F5详述API的持续蔓延的报告，HelpNetSecurity对其作了简单评论。

根据这份报告：“我们预计，当前公共和私人API数量接近2亿，到2031年，可能会增至数十亿。”

• 缺乏全球标准致使API重新实现

• 微服务的增长

• 软件发布的节奏加快

• 大型企业内部互用性需求加强

• 单个业务部门的重复工作

API蔓延加剧为运营和安全增加了挑战，API安全需要密切关注。