技术博客

API NEWS | 关于Zulip Server API中的提权漏洞

2022-09-01阅读:333

欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。

欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。

本周,我们带来的分享如下:

  • Zulip中的存在的API漏洞

  • 关于破坏访问控制对API的威胁

  • 关于破坏对象级别授权漏洞的快速阅读

  • 云安全联盟关于 API 安全最佳实践的指南


Zulip Server 中的提权漏洞

安全研究人员披露了 Zulip Server API 中一个漏洞,出现漏洞的根本原因是 Zulip Server 中的授权检查不正确。该漏洞被称为CVE-2022-31168,影响 Zulip Server 的所有版本,最高为 5.4。建议用户立即升级到 5.5 版本。


Zulip 是一个开源的团队聊天工具。由于 Zulip Server 5.4 及更早版本中的授权检查不正确,组织成员可以制作一个 API 调用,将组织管理员权限授予其机器人之一。该漏洞已在 Zulip Server 5.5 中修复。作为该漏洞的解决方法,组织管理员可以将“谁可以创建机器人”权限仅限于管理员,并更改现有机器人的所有权。


损坏的访问控制对 API 的威胁


本周,PortSwigger 发布了一篇文章,涵盖了损坏的访问控制(就像上面的漏洞一样)对 API 造成的风险。


根据该报告,2022 年第一季度发生了多达 48 个与 API 相关的漏洞。其中,18 人被评为高风险,19 人被评为中等严重程度。该报告还强调了对 API 进行基于注入的攻击的风险。

文章重点介绍了 2022 年以来两个备受瞩目的 API 漏洞: 
• 第一个漏洞是众所周知的Log4Shell漏洞,攻击者可以通过该漏洞注入代码有效负载以允许在 Spring Framework Core 模块中执行远程代码执行 (RCE)。 
• 第二个漏洞与 Veeam 备份解决方案中的身份验证损坏有关,该漏洞还允许攻击者远程执行代码。

被破坏的对象级授权简介

同样众所周知的API1:2019 — 被破坏的对象级授权(BOLA/IDOR) 漏洞在 OWASP API 安全前 10 名中名列前茅。本周我们为 API 安全主题的新手分享一个指南。


使用 BOLA,端点允许给定用户访问实际上不属于该用户的对象(即数据)。此漏洞的根本原因是 API 后端未能验证请求客户端是否确实有权访问指定对象。

通常,攻击者获得对 API 的身份验证,然后通过尝试操纵对象标识符来探测不良的API 。正如大家清楚的那样,BOLA 在现实世界的攻击中经常被利用——一个很好的例子就是最近在Coinbase 交易平台上的高调披露。

文章最后提出了关于防御措施的建议: 
• 始终在所有端点上完全实施授权。 
• 永远不要相信用户输入,因为这是攻击者试图操纵目标对象的方式。
• 使用高熵(随机且不可预测)的用户 ID 可以阻止攻击者猜测用户 ID 的尝试。 
• 使用中央授权框架或实施点来验证用户对所请求资源的访问权限。 
• 确保针对 BOLA 弱点测试你的 API。

云安全联盟的 API 安全最佳实践


云安全联盟 (CSA) 有许多关于提高云安全性的优秀出版物。API 安全最佳实践指南就是其中之一,值得学习。


他们的第一个建议是对所有 API 进行风险评估,从而衡量它们会对你的业务带来哪些风险。这是一个非常的建议——将努力应用于低风险 API 会消耗资源,并使开发和 IT 团队感到沮丧。首先关注风险最高的 API。

指南提供了 API 生命周期所有阶段的综合清单: 
• 设计 
• 开发 
• 测试 
• 执行 
• 记录和监控 
该指南列出了这五个阶段的 39 项不同检查——绝对值得将一些检查集成到你的 API 生命周期中。 

感谢 APIsecurity.io 提供相关内容
下载中心

姓名

电话

邮箱

职位

所属行业

所在公司

提交成功