技术博客

关于Plesk支持API实例中的CSRF漏洞

2022-11-22阅读:348

本周,我们带来的分享如下:

• 流行的服务器管理门户Plesk支持API的实例中的客户端请求伪造(CSRF)漏洞

• 关于前五名API安全神话

支持Plesk API的服务器中的CSRF


本周首先打破了我们在FORTBRIDGE的朋友的研究,该研究在流行的服务器管理工具Plesk的REST API中发现了CSRF漏洞。Plesk被广泛用作网络托管和数据中心提供商的管理前端,并且通常针对安全漏洞进行了强化和修补。




在最近的一个客户端项目中,Adrian Tiron(FORTBRIDGE的管理合伙人)注意到,当从Web接口客户端调用后端REST API时,对CSRF没有防御。基本上,CSRF攻击允许攻击者劫持服务器上的现有客户端会话来执行其他操作。通常,对此的辩护是包括请求独有的CSRF令牌。


在这种情况下,Tiron发现,如果攻击者可以引诱Plesk管理员访问恶意网站(例如通过点击劫持类型攻击),攻击者可以对Plesk服务器发起攻击。REST API中的一个特定端点支持杂项命令,包括重置管理员密码的选项。鉴于Plesk通常以高特权管理服务器,这种妥协可能会产生重大影响,例如允许任意文件上传和完全接管主机服务器等各种严重攻击。


FORTBRIDGE负责任地向Plesk披露了这一漏洞,Plesk迅速响应解决了问题。在撰写本文时,Plesk报告称,89.4%的Plesk服务器已经自动更新。


对于开发人员来说,关键的要点是确保所有更改服务器状态的POST请求都实现了CSRF缓解。CSRF防御的两个标准模式是同步器令牌模式或双提交cookie模式。


前五大API安全神话


API安全是一个庞大、庞大的话题,有许多不同的观点和观点,并且经常被可能导致严重风险的误解所困扰。本周,黑客新闻介绍了他们自己对围绕API安全性的前五个神话的看法。




简要总结如下:

• API网关、现有的IAM工具和WAF足以保护API:这可能是我在与安全团队讨论时最常遇到的误解。现在所有的安全工具在降低API暴露的风险方面都具有价值。然而,许多遗留工具无法完成保护API的任务,许多API漏洞无法通过使用工具来防止。适当的威胁评估、可靠的设计、防御性编码和适当的测试与工具一样重要。


• API安全性很简单:API安全是一项具有挑战性的任务,攻击者几乎总是领先一步。


• 开发人员总是将安全性融入到API:虽然开发人员越来越意识到需要尽早将安全性纳入他们的代码,但他们面临着各种其他需求和限制,如性能、功能或交付。安全并不总是他们的首要任务。


• 默认情况下,云提供商保护API:云的一大承诺是“默认情况下是安全的”,云提供商处理大多数安全考虑。云提供商采用的共享安全模型非常明确地规定,应用程序和数据安全的责任都由最终用户承担。


• 零信任足以保护API:API安全没有灵丹妙药。虽然零信任是一种有价值的方法,但它只是大局的一部分。


作者在本文中提出了一些有用的观察——API安全是一项多方面的事业,最好的方法是具有深度防御的分层方法。

下载中心

姓名

电话

邮箱

职位

所属行业

所在公司

提交成功