API NEWS | 关于API增长所带来的安全风险

本周，我们带来的分享如下：

•  Uber的一个面向公众的内部API上存在一个长期漏洞，该漏洞允许攻击者进行电子邮件欺诈

•  NordicAPIs 在RapidAPI报告中发布了一篇文章，讨论了面向合作伙伴的API的增长

•  IBM阐述全渠道API增长所带来的API安全风险

本周，ThreatPost公布了Uber的一个面向公众的内部API漏洞的细节，该漏洞允许攻击者进行电子邮件欺诈，使受害者认为邮件来自Uber。

Seekurity的安全研究人员和漏洞挖掘人员Seif elsalamy披露该漏洞的细节。Seif Elsallamy直接向Uber披露了该漏洞的细节，同时将其提交给HackerOne。然而，Uber拒绝了Elsallamy通过第三方进行的提交。后来得知，早在2015年，就有人向Uber报告了该漏洞！Elsallamy 后来表示，这个问题似乎终于得到了解决。

攻击者可以通过漏洞利用Uber上一个面向公众的内部API进行HTML注入，并以Uber的名义发送电子邮件。用户可能会被欺骗，相信这些邮件是真实的，并执行不安全的操作，比如披露财务细节或敏感的个人信息。elsalamy给出了一个关于概念证明的欺骗邮件的例子：

2016年，本通讯中曾披露过Uber遭遇的一次大规模的泄密事件，导致5700万名用户的账户信息被泄露。

• 注意：如果将仅供内部使用的API被连接到面向公众的网络，可能很容易被发现（和利用）。

• API可能会无意暴露出下游系统中遗留的潜在漏洞——在这种情况下，后端系统很容易受到HTML注入攻击。

• 了解安全的组织应该具备主动的（或至少是响应性的）方式来处理漏洞和漏洞报告——本案例中，同一个问题已经被报告了好几次，但组织并未采取行动。

根据RapidAPI最近发布的《2021年API开发者调查报告》，NordicAPIs发表了一篇文章，谈论了关于面向合作伙伴的API的崛起。

该报告对2200名开发人员进行了调查，并根据受访者的亲身体验，从内部工具的角度到越来越多面向合作伙伴的API，对他们的看法进行了抽样调查。面向合作伙伴的API的崛起给组织带来了挑战：随着API数量的增长，维护工作变得愈加困难，更不用说与数据隐私和安全问题方面的挑战了。

1. API测试主要集中在验收测试、功能测试和集成测试，但在调查中没有提到安全测试。

2. Covid-19疫情加剧了软件领域的技术短缺，这一点在软件安全领域表现得尤为突出。

IBM SecurityIntelligence发表了一篇文章，阐述了所谓的全渠道API的崛起以及这些API如何增加了API风险。

• 多设备使用：用户有多个设备，API需要在所有设备上提供特性和功能

• 微服务：整体架构的崩溃导致了分布式微服务的出现，提供API进行连接

• 迁移到云：云部署的便利性也提高了软件部署的速度，包括API

• 建设一个API清单：你无法保护你看不到的东西。

• 练习安全编码：编码漏洞是一切软件漏洞的根源。

• 实现OAuth：通过使用强大的授权协议来避免令牌保密和泄漏问题。

• 限速和限流：限制攻击速率，防止API被滥用。

• 使用API网关：使用网关作为执行安全策略的中心点。

• 使用服务网格：在服务中利用网格来执行身份验证、访问控制和其他安全措施。

• 采用零信任：不要依赖传统的边界或信任边界。

感谢 APIsecurity.io 提供相关内容