API NEWS | F5 BIG-IP中的CSRF漏洞对API的影响

技术博客

2022-12-08阅读：257

欢迎大家围观小阑精心整理的API安全最新资讯，在这里你能看到最专业、最前沿的API安全技术和产业资讯，我们提供关于全球API安全资讯与信息安全深度观察。

本周，我们带来的分享如下：

F5 BIG-IP中的CSRF漏洞对API的影响
关于下一代供应链攻击的文章
谷歌云2022年API安全研究

F5 BIG-IP中的CSRF漏洞

本周我们介绍一个影响F5 BIG-IP设备的CSRF API漏洞。Rapid7的安全研究人员发现，endpoint/iControl/iControlPortal.cgi缺乏跨站点请求伪造（CSRF）保护，也不需要正确的Content-Type或其他典型的API保护。为了利用这一弱点，攻击者引诱用户访问他的网站，攻击者可以使用目标用户的特权向F5后端API启动任意API命令。

针对CSRF攻击的标准保护有在框架中使用内置的CSRF保护，使用同步器令牌模式或双提交cookie模式等。

下一代供应链攻击

供应链攻击被认定DevSecOps新威胁，是有正当理由。由于整体被分解，软件是组装而不是书写的，因此风险是从上游供应链继承的。Dark Reading的这篇文章更深入地讨论了这个主题，里面还包括了他们对API及其密钥如何成为软件供应链中主要问题之一的一些想法。

传统意义上，供应链风险被视为下游传递的软件依赖项中的漏洞——典型的例子是聚合到最终产品的开源组件中的漏洞。最近，这种供应链弱点得到了美国最高级别的关注。

而现在的供应链是什么样子呢？通常，现代软件是使用超连接系统构建的，例如第三方提供商API、CI/CD系统和各种云托管服务。这些系统都通过API及其相关密钥和令牌连接。供应链的急剧增长，以及相互关联的服务和依赖性，给安全团队带来了挑战，这要求他们首先要了解其总体攻击表面，然后解决重大问题。

减少任何攻击软件供应链的爆炸半径最简单的办法之一是通过减少API密钥和令牌的特权、范围和生命周期来缩小它们的攻击范围。

作者强调了近期SaaS提供商的两个例子，他们更改了API密钥和令牌范围，以尽量减少泄漏的影响，即：

• Hubspot有助于消除与使用API密钥相关的潜在风险。

• GitHub引入了细粒度的个人访问令牌，为开发人员和组织所有者提供了增强的安全性。

谷歌云2022 API安全研究报告

本周有一份谷歌云关于2022年API安全性的报告。

该报告包含大量与API安全相关的统计数据。以下是一些亮点内容：

• 62%的C-Suite高管报告说，他们都曾经历安全事件。

• API安全威胁40%来自配置错误，有35%是因为API过时。

• 超过四分之三的组织因安全事件而推迟了产品发布。

• 只有40%的组织制定了完整的API安全策略。

大多数受访者专注于主动识别安全威胁，并采用自动化和编排的方法来验证API安全的左移。

感谢 APIsecurity.io 提供相关内容

[上一篇]案例实践 | 某能源企业API安全实践 [下一篇]蜻蜓：开箱即用的安全工作流编排了解更多