欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
API NEWS | Booking.com爆出API漏洞
2023-06-16阅读:322
欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
本周,我们带来的分享如下:
IT Security Guru最近的调查发现,住宿预订服务http://Booking.com,在登录功能的OAuth实例,可能导致恶意攻击者接管用户的账号,而且黑客也能够以同样的手法,登录http://Booking.com子公司http://Kayak.com。http://Booking.com在收到Salt Security的漏洞通报后,已经迅速修复问题,并且确认未有黑客利用该漏洞入侵平台。
OAuth(Open Authorization)是目前的开放身份验证标准,使用户可以允许应用程序读取脸书或Google等账号资料进行身份验证,方便地登录应用程序。研究人员发现http://Booking.com上由于不安全的OAuth设计缺陷,使攻击者有机会接管以脸书登录的账号,而且一旦接管成功,攻击者便可以假冒用户执行任意操作,包括访问所有个人资讯和其他敏感数据。
这项漏洞不只让使用脸书账号登录http://Booking.com的用户受到影响,即便用户是使用Google或其他登录方式创建账号,攻击者同样也可以使用脸书登录功能接管其http://Booking.com账号。攻击者只要向使用Google身份验证的http://Booking.com用户发送恶意连接,由于受害者电子邮件地址相同,http://Booking.com便会自动关联拥有相同电子邮件的账户允许登录。
研究人员提到,这类OAuth配置错误对公司和用户造成重大影响,攻击者可能会代替受害者提出未经授权的请求、取消预订,或是访问敏感个人资讯,包括预定历史记录、个人喜好或是未来订单。
虽然OAuth2(或其他标准机制)可以增加API安全性,但实现起来可能会很复杂。因此,这提醒API开发人员必须小心谨慎,提高安全意识,确保使用OAuth2时必须正确配置。
近期来自Approov的报告声称,对谷歌应用商店上的金融应用程序进行了研究。该报告的关键点是,谷歌应用商店上92%的金融应用程序包含可提取的数据,例如API密钥。在这些泄露的应用程序中,泄漏了近四分之一的敏感数据,例如用于支付和货币账户转移的身份验证密钥。该研究基于谷歌应用商店中美国、英国、法国和德国的“前200名”金融服务应用程序。
Approov使用一个五点框架来识别移动应用程序攻击面:
根据Approov的说法,大多数调查的应用程序在防御针对设备环境的攻击方面都非常薄弱,而且很难对中间人攻击进行有效防护。
中间人攻击(Man-in-the-Middle Attack, MITM)是一种由来已久的网络入侵手段,并且当今仍然有着广泛的发展空间。MITM攻击可以通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信的双方却毫不知情。在黑客技术越来越多的运用于以获取经济利益为目标的情况下时,MITM攻击成为对网银、网游、网上交易等最有威胁并且最具破坏性的一种攻击方式。
小阑建议,预防中间人攻击,可以采取以下措施:
最近外国安全研究员DANA发现了Shieldify的一个GitHub存储库,其中包含一个API安全清单,列出了在设计、测试和发布应用程序编程接口时要考虑的最重要对策。虽然它不是目前最全面的REST API安全测试清单,但它很好地涵盖了蓝队需要考虑的许多重要事项。
API安全测试清单(部分)如下:
API安全测试清单非常重要,它可以帮助开发团队充分了解API存在的安全漏洞,并及时解决这些问题,提高API的安全性和可靠性。
本周特别邀请了Secure Code Warrior的CTO Matias Madou接受采访,阐述了以人为本的修复是确保API安全的关键。
Madou表示,如果一个企业想要保证API的安全,不能仅仅依靠自动化和工具来解决问题。因为没有关于管理API行为的标准,所以开发团队必须经过培训后才能够更好地管理API。虽然新的工具可以简化安全团队的工作流程,但是用户使用这些工具所犯的错误是很难被预测的。因此,组织需要不仅仅依靠工具,还要有经过培训的开发人员来对API的安全进行管理。
例如,假设某个组织开发了一个需要登录的API,他们使用了自动化工具来检查代码中是否存在SQL注入漏洞。但是,这些工具可能无法检测到其他类型的安全问题,例如访问控制或身份验证方面的问题。因此,该组织需要经过培训的开发人员来检查和解决这些问题,以确保API的完整性。 虽然新的工具可以帮助简化安全团队的流程,但是它们无法完全代替人类的思考和分析能力。因此,需要有经验的专业人员来管理API的行为,以及解决可能存在的安全问题。地址:北京市海淀区海淀大街38号银科大厦6层
Copyright © 2022 北京星阑科技有限公司. 京ICP备19053406号
提交成功