欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
本周,我们带来的分享如下:
-
API 测试清单
-
针对渗透测试人员的一个全面指南
-
如何使用 CVSS 解决 API 安全问题
-
关于Ivan Novikov 的 10 年 API 安全漏洞之旅
API 测试清单
本周,给大家介绍来自 Latish Danawale 的 API 测试优秀清单。该指南可能更适合 API 渗透测试人员,但对于任何使用 API 以了解对手的策略(和才能)的人来说,也非常值得一读。
其中一些观点包括:
• “较旧的 API 版本往往更容易受到攻击并且缺乏安全机制”——始终尝试发现较旧的 API 端点(例如/v1使用 . 对于防御者,请始终确保弃用旧的、安全性较低的 API 版本并将其从生产环境中移除。
• “大规模分配是真实的” ——通过利用对象关系映射器 (ORM),开发人员可以轻松地将请求输入数据分配给数据库层。但是,这可能会导致大量分配漏洞,攻击者可以覆盖所谓的私有数据字段。
• “即使 ID 是 GUID 或非数字,尝试发送一个数值” ——授权机制可能会同时测试非数字和数字 ID,以防万一。
• “移动证书固定?” — 较旧版本的移动应用程序可能缺少证书固定,从而更容易对后端 API 进行逆向工程。
• “API 倾向于通过设计泄漏 PII” ——后端经常返回过于冗长的 JSON 数据,并依赖前端来屏蔽这些数据。不幸的是,攻击者很容易在浏览器中拦截。
• “GitHub Dorks for Finding API Keys, Tokens and Passwords” ——最后,作者列出了一些“GitHub dorks”,用于尝试发现意外存储在网上的 API 凭证。
API 安全测试资源
接下来,我们为 API 安全测试人员提供了另一个很好的资源,这次来自 Momen Eldawakhly ,他为我们带来了他的 API 安全帝国。Eldawakhly 再次针对 API 安全性渗透测试人员,首先关注侦察,然后关注针对 REST、SOAP 和 GraphQL API 的特定攻击技术。
进入 API 安全帝国的第一道门是知道如何收集有关 API 基础设施的信息,以及如何对 API 执行强大的侦察以提取使您破坏整个基础设施的隐藏门,因此,我们提供了这个更新的 API使用 API 侦察中的最新工具和方法来侦察思维导图:
攻击 RESTful 和 SOAP:
由于 GraphQL 中的攻击有限,我们尝试生成所有可能的攻击,这是由于我们在即将到来的思维导图中测试 API 的经验:
在攻击 GraphQL 时,最重要的阶段是枚举突变和查询,没有它你将无法执行完整的 GraphQL 测试,为此,我使用的是Apollo GraphQL Sandbox,Apollo 枚举查询和突变,然后将它们排序在您面前,之后您可以选择要使用突变执行的操作或要使用查询检索的数据,只需通过 GUI 选择它们,Apollo 将自动记下查询。Apollo 的特别之处在于它是一个基于 Web 的资源管理器,这意味着无需安装,您也可以在本地 GraphQl 上运行它!
后台回复“思维导图”可获取以上思维导图PDF版本
使用 CVSS 解决 API 安全问题
思科研究团队发布了一篇关于如何使用通用漏洞评分系统 (CVSS) 根据影响的可能性对 API 漏洞进行评分的帖子。CVSS 在 IT 安全行业很受欢迎,因为它声称提供了一个标准的、易于理解的漏洞评分系统,以允许组织优先考虑补救工作。
通用漏洞评分系统(CVSS)是一个公共信息存储库,它根据已知软件漏洞的严重性和范围对其进行评分。分数的目标是帮助开发人员、IT 管理员和其他利益相关者轻松确定哪些漏洞需要紧急关注,哪些不那么重要。
“它旨在提供软件漏洞的开放和通用标准严重等级” 国家基础设施咨询委员会
分数基于三个主要指标:基础、时间和环境:
作者探索了两种常见的方法来保护 API 集成:mTLS 模式下的不记名令牌和证书。不记名令牌可用于授权客户端访问 API,但它们有一个明显的问题,即任何有权访问该不记名令牌的人都可以访问 API。另一方面,证书的使用提供了强大的身份验证,但缺乏提供更细粒度授权的能力,就像具有范围的访问令牌可以做到的那样。
CVSS 使用三个元素计算:
• 基线,包括攻击向量、攻击复杂性、所需权限、用户交互、范围以及对机密性、完整性和可用性的影响(CIA 分析)。
• 时间,包括漏洞利用代码成熟度、修复级别和报告置信度。
• 环境因素,可能影响基线评分的特定因素,例如易受攻击的主机平台。
作者重点介绍了一个新的 Cisco 平台 (Panoptica),该平台旨在通过服务网格或 Kubernetes 部署识别 API,然后为这些 API 添加风险上下文。拥有按 CVSS 分数排名的 API 的单一视图允许团队首先解决最大的问题。
十年 API 安全漏洞
本周,我们有来自 API 安全资深人士 Ivan Novikov 的观点,涵盖了他在 API 安全漏洞方面的十年历程。该报告涵盖了超过 10,000 个 CVE、BugBounty 报告、漏洞利用以及来自 Novikov 在此期间的个人研究的数据。
这篇文章的主要内容是:
• 每天都会发生五种 API 漏洞:本时事通讯的读者不会对列表中的第一个感到惊讶。在过去十年中,漏洞利用一直在稳步增加,自 2020 年以来,它们平均每天超过 5 个。
• 非 Web API 的使用正在上升:尽管 REST API 主导 API 流量,但非 Web API 的份额越来越大,例如 BAPI、Android 和 iOS,仅举几例。
• 自 1998 年以来 CVSS 得分约为 6.0:与上一篇关于 CVSS 的文章很好地结合起来,平均 API 漏洞在 CVSS 量表上得分为 6.0(从 0.0 到 10.0),因此被归类为高风险。
诺维科夫提出了两个额外的意见。首先,对 API 的威胁可能高于仅 CVSS 评分所表明的——仅通过可利用性衡量,CVSS 评分可能更接近 9,这意味着超高风险。其次,调查结果表明,近一半的组织正在使用旧版 API 协议——使用更现代且本质上更安全的协议可以降低 API 风险。
感谢 APIsecurity.io 提供相关内容
关于星阑
星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。
星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。
往期 · 推荐
原文始发于微信公众号(星阑科技):API NEWS | API 安全测试资源(附思维导图)
