欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。

本周,我们带来的分享如下:

Money Lover爆出潜在API漏洞


(资料图)

Dark Reading对越南Finsify开发的“Money Lover”应用程序中存在API潜在漏洞。Money Lover是一款管理个人财务的工具应用程序。它可以帮助用户记录和跟踪他们的支出、收入、预算、账单和债务等方面的情况。通过这个应用程序,用户可以更好地了解自己的财务状况,掌握自己的收支流水,制定更明智的理财计划。此外,Money Lover还提供了多种功能,如数据同步、报表分析、提醒通知等,使用户的财务管理更加方便和高效。

这个漏洞是由Trustwave研究员Troy Driver发现的,他在通过代理服务器路由流量时,发现了Money Lover的安全性问题。每个共享钱包的电子邮件地址、钱包名称和实时交易数据对他来说是可见的。研究人员没有透露发现的漏洞的确切细节,但说明这漏洞具有访问控制中断的所有特征,无论是对象级授权中断还是用户身份验证中断。

对象级授权中断漏洞指的是攻击者可以通过绕过应用程序中的授权检查,对未经授权的资源进行访问、修改或删除等操作。在Money Lover应用中,如果存在该漏洞,攻击者可能会利用此漏洞获取到其他用户的敏感信息,如账户余额、交易记录等,并且还可能篡改或删除用户的数据,导致用户的账户受损或者财务数据被泄露。

为了防范对象级授权中断漏洞,需要采取一些安全措施,例如:

丰田管理运营平台的API漏洞

最近,安全研究员伊顿·兹韦尔(Eaton Zveare)发现了丰田公司管理运营的系统存在安全漏洞,可以让攻击者不受到监测地访问丰田内部的文件和用户账户。

这个问题涉及到超过14,000名用户和机密信息,如果攻击者利用漏洞加上他们自己的账户,就可以长期地获取丰田的数据,影响公司的全球运营。

幸运的是,丰田很快就修复了这个漏洞,成功地保护了公司和客户的信息安全。

Zveare声称,他能够利用安全性较差的应用程序编程接口(API)来闯入丰田GSPIMS系统,并可以完全访问丰田内部项目,文档和用户帐户,包括丰田外部合作伙伴/供应商的用户帐户。

该管理运营平台的API漏洞风险点,在于攻击者可以利用安全性较差的API接口入侵系统,完全访问丰田内部的项目、文档和用户账户,包括供应商和外部合作伙伴的账户,甚至能够访问机密文件和项目。攻击者可以添加自己的账户,并在不被发现的情况下永久访问丰田的数据,影响公司全球运营,带来严重的财务和声誉损失。

对于这种API漏洞,小阑建议可以采取以下防护措施:

关于标准测试遗漏的API缺陷

最近,《The Daily Swig》采访了Corey Ball,他分享了对2023年API安全性的看法。核心结论是,保护API安全需要一种不同于Web应用程序安全的方法。虽然Web应用程序安全工具对于防止基本漏洞缺陷(如SQL注入)仍然有用,但是它们无法全面了解API实现的上下文,从而无法检测某些类别的API漏洞。因此,我们需要针对API设计和实施专门的安全方法,才能更好地保障API的安全性。

Ball提到,随着API的广泛使用,它们越来越成为攻击者的主要攻击目标。网络上常见的API安全错误在数量上急剧增加,其中包括失效的对象级授权和缺失功能级授权等问题,这些授权错误使得攻击者可以未经授权地访问其他用户的数据。Ball表示:“由于API授权漏洞普遍存在,我们过于信任有效用户,并没有充分的测试来确保用户不能更改彼此的数据。” 因此,企业需要采取措施来防止这种情况发生,包括实施严格的API授权访问控制和进行充分的安全测试,才能确保API的安全性。

其实,在现实项目中,标准测试往往无法完全检测出所有API缺陷,除了文章中提到的问题,还有一些可能被遗漏的API缺陷:

文章阐述的API漏洞主要是失效的对象级授权,让攻击者可以利用失效的对象级别授权的API端点,通过操纵在请求中发送的对象访问未经授权的敏感数据。这个问题在基于API的应用程序中极为常见,因为服务器组件通常不完全跟踪客户端的状态,而是更多地依赖于从客户端发送的对象ID等参数来决定对象的访问。

面对文章中所说的API漏洞问题,小阑建议:

Twitter宣布实施API付费 解决机器人滥用问题

本周,简单介绍Twitter在打击滥用其API的机器人帐户方面的进展。报道谈到了Twitter在打击机器人造假帐号问题上的进展,这是Twitter面临的一个很大的问题。机器人可以被网络犯罪分子利用来传播垃圾邮件和恶意链接,同时也会影响公众舆论的形成。

Twitter团队宣布,他们将不再提供免费的API访问,有些人认为这是因为Twitter想借此手段赚更多的广告收入。一些人持怀疑态度,认为社交媒体网站可以采取更好的策略和工具来打击这种僵尸网络,例如:识别可疑帐户、使用专业工具、将帐户与现实世界的个人和组织联系起来等等。

恶意机器人滥用是一种利用API接口实现的攻击手段。攻击者可以编写特定的程序,利用API接口不断生成、发布大量自动化的虚假信息、垃圾邮件和恶意链接,从而诱骗用户点击、下载恶意软件或输入个人敏感信息,导致用户受到欺骗和侵害。

这种机器人的滥用会带来许多严重的后果,例如破坏公共秩序,诱发社会事件,影响公众舆论,甚至可能泄露用户个人隐私等。另外,由于恶意机器人是自动化的,因此攻击者可以轻松地制造大规模的攻击,这对网络安全形成了极大的威胁。

为了防范恶意机器人滥用,小阑建议可以采取以下措施:

感谢http://APIsecurity.io提供相关内容

推荐内容