欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
API NEWS | F5 BIG-IP中的CSRF漏洞对API的影响
2022-12-08阅读:257
欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
本周,我们带来的分享如下:
F5 BIG-IP中的CSRF漏洞对API的影响
关于下一代供应链攻击的文章
谷歌云2022年API安全研究
F5 BIG-IP中的CSRF漏洞
本周我们介绍一个影响F5 BIG-IP设备的CSRF API漏洞。Rapid7的安全研究人员发现,endpoint/iControl/iControlPortal.cgi缺乏跨站点请求伪造(CSRF)保护,也不需要正确的Content-Type或其他典型的API保护。为了利用这一弱点,攻击者引诱用户访问他的网站,攻击者可以使用目标用户的特权向F5后端API启动任意API命令。
下一代供应链攻击
供应链攻击被认定DevSecOps新威胁,是有正当理由。由于整体被分解,软件是组装而不是书写的,因此风险是从上游供应链继承的。Dark Reading的这篇文章更深入地讨论了这个主题,里面还包括了他们对API及其密钥如何成为软件供应链中主要问题之一的一些想法。
传统意义上,供应链风险被视为下游传递的软件依赖项中的漏洞——典型的例子是聚合到最终产品的开源组件中的漏洞。最近,这种供应链弱点得到了美国最高级别的关注。
而现在的供应链是什么样子呢?通常,现代软件是使用超连接系统构建的,例如第三方提供商API、CI/CD系统和各种云托管服务。这些系统都通过API及其相关密钥和令牌连接。供应链的急剧增长,以及相互关联的服务和依赖性,给安全团队带来了挑战,这要求他们首先要了解其总体攻击表面,然后解决重大问题。
减少任何攻击软件供应链的爆炸半径最简单的办法之一是通过减少API密钥和令牌的特权、范围和生命周期来缩小它们的攻击范围。地址:北京市海淀区海淀大街38号银科大厦6层
Copyright © 2022 北京星阑科技有限公司. 京ICP备19053406号
提交成功