2019应用程序保护报告:API成黑客眼中肥肉

2019应用程序保护报告:API成黑客眼中肥肉

黑客软件访客2021-10-11 14:03:004245A+A-

F5 Labs 研究人员宣称,API 已成黑客容易盯上的靶子。

一系列因素导致应用程序编程接口 (API) 成为网络罪犯眼中易于得手的目标。

网络安全公司 F5 Labs 日前发布《2019 应用程序保护报告》,探索可用于入侵 API 的各种攻击技术。

研究人员介绍,导致 API 成黑客攻击靶子的最大因素,是过于宽泛的权限。在博客帖子中,研究人员 Ray Pompon 和 Sander Vinberg 写道:因为不是给用户使用的,API 通常设置为能访问应用程序环境中的任何数据。

权限用于生成用户请求并传入 API,但问题在于,黑客也能很方便地利用这些权限。

由于 API 拥有不受限制的访问权限,通过 API 实施的攻击可赋予攻击者看清一切的可见性。什么都好,直到攻击绕过用户身份验证过程,直达下游应用。由于 API 拥有不受限制的访问权限,通过 API 实施的攻击可赋予攻击者看清一切的可见性。

F5 Labs 将 API 描述为网络罪犯惯用手法易于突破的目标,指出 API 所用 URI(统一资源标识符)、方法、头和其他参数可被攻击者滥用。

研究人员称:事实上,大多数典型 Web 攻击,比如注入、凭证暴力破解、参数篡改和会话欺骗,效果惊人。

另一个关键问题,则是可见性。研究人员宣称,业内缺乏对 API 及其安全风险的态势感知。

研究人员称:API 本就应该在后台工作,这没什么不好;但如果连被黑也发生在后台,我们全部宝贵资料都在看不见的情况下被盗,就不好了。

业内缺乏对API及其安全风险的态势感知

正如我们在去年报告的后续跟进中指出的,API 连接的端口往往不止 80/443。它们通常深藏在 Web 服务器某处多层目录下,其架构细节也往往只有开发团队才清楚。

现实就是,安全团队可能看不到自身环境中可能存在有此类潜在影响的连接。

为缓解此类威胁,F5 建议公司企业做到以下几点:

1. 列出 API 清单,了解其架构和故障模式的影响;

2. 要求 API 身份验证;限制 API 权限;

3. 加密 API 连接;

4. 使用 API 专用工具,比如代理或防火墙;

5. 运用边界扫描、漏洞评估和渗透测试等手段测试 API。

上月曝光的 Capital One 黑客案中,检方宣称涉案黑客 Paige Thompson 可能入侵了其他 30 多个公司。该报告的发布正值检方透露该消息之时。但并无证据显示 Thompson 有意售卖或分发其盗取的数据。

《2019应用程序保护报告》:

https://www.f5.com/labs/articles/threat-intelligence/application-protection-report-2019-episode-5-api-breaches-and-the-visibility-problem

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 5条评论
  • 闹旅海夕2022-06-06 02:58:25
  • 描述为网络罪犯惯用手法易于突破的目标,指出 API 所用 URI(统一资源标识符)、方法、头和其他参数可被攻击者滥用。研究人员称:事实上,大多数典型 Web 攻击,比如注入、凭证暴力破解、参数篡改和会话欺骗,效果惊人。另一个关键问题,则是可见性。研究人员宣称,业内缺乏对 A
  • 痛言只酷2022-06-05 19:42:26
  • 层目录下,其架构细节也往往只有开发团队才清楚。现实就是,安全团队可能看不到自身环境中可能存在有此类潜在影响的连接。为缓解此类威胁,F5 建议公司企业做到以下几点:1. 列出 API 清单,了解其架构和故障模式的影响;2. 要求 API 身份验证;限制 API 权限;3. 加密 AP
  • 鸢旧辙弃2022-06-05 20:23:27
  • Capital One 黑客案中,检方宣称涉案黑客 Paige Thompson 可能入侵了其他 30 多个公司。该报告的发布正值检方透露该消息之时。但并无证据显示 Thompson 有意售卖或分发其
  • 纵遇假欢2022-06-05 18:00:16
  • 在 Web 服务器某处多层目录下,其架构细节也往往只有开发团队才清楚。现实就是,安全团队可能看不到自身环境中可能存在有此类潜在影响的连接。为缓解此类威胁,F5 建议公司企业做到以下几点:1. 列出
  • 礼忱娇痞2022-06-06 00:10:36
  • 拥有不受限制的访问权限,通过 API 实施的攻击可赋予攻击者看清一切的可见性。什么都好,直到攻击绕过用户身份验证过程,直达下游应用。由于 API 拥有不受限制的访问权限,通过 API 实施的

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理