技术博客

API NEWS | F5 BIG-IP中的CSRF漏洞对API的影响

2022-12-08阅读:52

欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。

欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。

本周,我们带来的分享如下:

  • F5 BIG-IP中的CSRF漏洞对API的影响

  • 关于下一代供应链攻击的文章

  • 谷歌云2022年API安全研究

F5 BIG-IP中的CSRF漏洞

本周我们介绍一个影响F5 BIG-IP设备的CSRF API漏洞。Rapid7的安全研究人员发现,endpoint/iControl/iControlPortal.cgi缺乏跨站点请求伪造(CSRF)保护,也不需要正确的Content-Type或其他典型的API保护。为了利用这一弱点,攻击者引诱用户访问他的网站,攻击者可以使用目标用户的特权向F5后端API启动任意API命令。


针对CSRF攻击的标准保护有在框架中使用内置的CSRF保护,使用同步器令牌模式或双提交cookie模式等。

下一代供应链攻击


供应链攻击被认定DevSecOps新威胁,是有正当理由。由于整体被分解,软件是组装而不是书写的,因此风险是从上游供应链继承的。Dark Reading的这篇文章更深入地讨论了这个主题,里面还包括了他们对API及其密钥如何成为软件供应链中主要问题之一的一些想法。


传统意义上,供应链风险被视为下游传递的软件依赖项中的漏洞——典型的例子是聚合到最终产品的开源组件中的漏洞。最近,这种供应链弱点得到了美国最高级别的关注。

而现在的供应链是什么样子呢?通常,现代软件是使用超连接系统构建的,例如第三方提供商API、CI/CD系统和各种云托管服务。这些系统都通过API及其相关密钥和令牌连接。供应链的急剧增长,以及相互关联的服务和依赖性,给安全团队带来了挑战,这要求他们首先要了解其总体攻击表面,然后解决重大问题。

减少任何攻击软件供应链的爆炸半径最简单的办法之一是通过减少API密钥和令牌的特权、范围和生命周期来缩小它们的攻击范围。

作者强调了近期SaaS提供商的两个例子,他们更改了API密钥和令牌范围,以尽量减少泄漏的影响,即: 
• Hubspot有助于消除与使用API密钥相关的潜在风险。 
• GitHub引入了细粒度的个人访问令牌,为开发人员和组织所有者提供了增强的安全性。

谷歌云2022 API安全研究报告 
本周有一份谷歌云关于2022年API安全性的报告。
该报告包含大量与API安全相关的统计数据。 以下是一些亮点内容: 
• 62%的C-Suite高管报告说,他们都曾经历安全事件。 
• API安全威胁40%来自配置错误,有35%是因为API过时。 
• 超过四分之三的组织因安全事件而推迟了产品发布。 
• 只有40%的组织制定了完整的API安全策略。 
大多数受访者专注于主动识别安全威胁,并采用自动化和编排的方法来验证API安全的左移。

感谢 APIsecurity.io 提供相关内容
下载中心

姓名

电话

邮箱

职位

所属行业

所在公司

提交成功