API NEWS | 关于Zulip Server API中的提权漏洞

技术博客

2022-09-01阅读：551

欢迎大家围观小阑精心整理的API安全最新资讯，在这里你能看到最专业、最前沿的API安全技术和产业资讯，我们提供关于全球API安全资讯与信息安全深度观察。

本周，我们带来的分享如下：

Zulip中的存在的API漏洞
关于破坏访问控制对API的威胁
关于破坏对象级别授权漏洞的快速阅读
云安全联盟关于 API 安全最佳实践的指南

Zulip Server 中的提权漏洞

安全研究人员披露了 Zulip Server API 中一个漏洞，出现漏洞的根本原因是 Zulip Server 中的授权检查不正确。该漏洞被称为CVE-2022-31168，影响 Zulip Server 的所有版本，最高为 5.4。建议用户立即升级到 5.5 版本。

Zulip 是一个开源的团队聊天工具。由于 Zulip Server 5.4 及更早版本中的授权检查不正确，组织成员可以制作一个 API 调用，将组织管理员权限授予其机器人之一。该漏洞已在 Zulip Server 5.5 中修复。作为该漏洞的解决方法，组织管理员可以将“谁可以创建机器人”权限仅限于管理员，并更改现有机器人的所有权。

损坏的访问控制对 API 的威胁

本周，PortSwigger 发布了一篇文章，涵盖了损坏的访问控制（就像上面的漏洞一样）对 API 造成的风险。

根据该报告，2022 年第一季度发生了多达 48 个与 API 相关的漏洞。其中，18 人被评为高风险，19 人被评为中等严重程度。该报告还强调了对 API 进行基于注入的攻击的风险。

文章重点介绍了 2022 年以来两个备受瞩目的 API 漏洞：

• 第一个漏洞是众所周知的Log4Shell漏洞，攻击者可以通过该漏洞注入代码有效负载以允许在 Spring Framework Core 模块中执行远程代码执行 (RCE)。

• 第二个漏洞与 Veeam 备份解决方案中的身份验证损坏有关，该漏洞还允许攻击者远程执行代码。

被破坏的对象级授权简介

同样众所周知的API1:2019 — 被破坏的对象级授权(BOLA/IDOR) 漏洞在 OWASP API 安全前 10 名中名列前茅。本周我们为 API 安全主题的新手分享一个指南。

使用 BOLA，端点允许给定用户访问实际上不属于该用户的对象（即数据）。此漏洞的根本原因是 API 后端未能验证请求客户端是否确实有权访问指定对象。

通常，攻击者获得对 API 的身份验证，然后通过尝试操纵对象标识符来探测不良的API 。正如大家清楚的那样，BOLA 在现实世界的攻击中经常被利用——一个很好的例子就是最近在Coinbase 交易平台上的高调披露。

文章最后提出了关于防御措施的建议：

• 始终在所有端点上完全实施授权。

• 永远不要相信用户输入，因为这是攻击者试图操纵目标对象的方式。

• 使用高熵（随机且不可预测）的用户 ID 可以阻止攻击者猜测用户 ID 的尝试。

• 使用中央授权框架或实施点来验证用户对所请求资源的访问权限。

• 确保针对 BOLA 弱点测试你的 API。

云安全联盟的 API 安全最佳实践

云安全联盟 (CSA) 有许多关于提高云安全性的优秀出版物。API 安全最佳实践指南就是其中之一，值得学习。

他们的第一个建议是对所有 API 进行风险评估，从而衡量它们会对你的业务带来哪些风险。这是一个非常的建议——将努力应用于低风险 API 会消耗资源，并使开发和 IT 团队感到沮丧。首先关注风险最高的 API。

指南提供了 API 生命周期所有阶段的综合清单：

• 设计

• 开发

• 测试

• 执行

• 记录和监控

该指南列出了这五个阶段的 39 项不同检查——绝对值得将一些检查集成到你的 API 生命周期中。

感谢 APIsecurity.io 提供相关内容

[上一篇]VMware 系列产品之身份验证绕过和JDBC注入漏洞分析 [下一篇]以业务需求的速度保护云原生应用和API 了解更多