API NEWS | Coinbase API漏洞详情

本周，我们带来的分享如下：

•  Coinbase平台上出现了一个高危漏洞，其赏金高达25万美元

•  关于REST API认证和授权的最佳实践的优秀指南

•  恶意机器人的增长及其缓解措施的文章

•  如何破解Elgato Key light API

近期的重大新闻：加密货币交易平台Coinbase的API出现了高危漏洞，该漏洞可能允许攻击者在不同的货币账户之间进行无限制的加密货币交易。

为了与Coinbase的相关安全团队取得联系，这位安全研究员最初在推特上披露了这个潜在的问题。收到预警后，Coinbase的反应堪称楷模，不到6个小时就解决了该问题，并奖励了这位安全研究员25万美元奖金，奖金额度创新高。Coinbase已在其安全博客中披露了该问题，还附上了补偿控制措施，以减少影响。

API认证和授权是API开发者和安全团队老生常谈的话题，最近42Crunch针对该话题举办了一个网络研讨会。下面让我们来看看关于该主题的一个优秀简明指南，相关内容由StackOverflow提供。

• 始终使用TLS：每个API都应使用TLS（传输层安全），以防止数据泄露。虽然这使证书管理工作更加复杂，但为了方便采用，现代平台正在集成证书解决方案。

• 将OAuth2用于单点登录(SSO)：OAuth2已与谷歌、GitHub、Microsoft等行业标准提供商建立了事实上的单点登录授权标准。通过使用OAuth2，开发人员可以采用经过精心设计的标准身份验证流，以避免常见的实现错误，尤其是其语言/框架也采用标准OAuth库时。

• 使用API密钥给现有用户编程访问：身份已知的内部用户可利用API密钥来简化对API的访问，不必像OAuth2那样复杂，前提是安全管理密钥。

• 鼓励对API密钥进行妥善的保密管理：不要向源代码库提交任何API密钥——如有必要，使用保密管理解决方案。

• 选择何时使用请求级授权来实施授权：使用授权中间件来标准化访问控制并避免失效的函数级授权漏洞。

• 为不同的API密钥配置不同的权限：确保对API密钥使用细粒度权限，以避免不必要或意外的访问。

• 将其它授权留给应用程序或业务逻辑：如果应用程序的授权需求特别复杂，考虑使用OSOHq标准库。

NordicAPIs发表了一篇文章，讨论恶意机器人的崛起以及对API产生的影响。

这篇文章阐述了“运动鞋机器人”（它们能自动在网站上购买运动鞋）的诞生过程，它们是如何进化到先人类用户一步，更快地获取Twitter账户的市场新闻，以及它们处理信息的方式。

从对抗的角度来看，自动化API访问的能力降低了攻击的困难程度，且发现漏洞后，数据过滤也更加简单。

• 识别攻击者的侦察行为。

• 为人为使用的API建立基准。

• 使用API网关限速和禁止请求。

• 在网关之外设置边界级别的安全。

• 避免错误配置API。

• 确保您的身份验证控制达到标准，并尽可能限制对潜在敏感数据的访问。

介绍一篇来自APIHandyman的文章，文章内容与破解Key light内部API有关。文章描述了如何使用Postman中的代理特性捕获从Elgato桌面应用程序发生至Key light的请求。随后，作者演示了如何使用标准的轻量级操作枚举API。

• 灯亮/关的值是非人类可读的值，更喜欢使用“开”和“关”。

• 亮度值似乎没有验证最小值，而是允许0作为一个有效值。

• 对于超出范围的亮度值（比如110%），会返回HTTP 200 OK代码，而不是预期的错误代码。

• 颜色温带值没有映射到UI上的开尔文值，因此用户必须猜测如何在内部获取开尔文值。