查看原文
其他

2019应用程序保护报告:API成黑客眼中肥肉

nana 安全牛 2022-07-03

F5 Labs 研究人员宣称,API 已成黑客容易盯上的靶子。



一系列因素导致应用程序编程接口 (API) 成为网络罪犯眼中易于得手的目标。


网络安全公司 F5 Labs 日前发布《2019 应用程序保护报告》,探索可用于入侵 API 的各种攻击技术。


研究人员介绍,导致 API 成黑客攻击靶子的最大因素,是过于宽泛的权限。在博客帖子中,研究人员 Ray Pompon 和 Sander Vinberg 写道:因为不是给用户使用的,API 通常设置为能访问应用程序环境中的任何数据。


权限用于生成用户请求并传入 API,但问题在于,黑客也能很方便地利用这些权限。


由于 API 拥有不受限制的访问权限,通过 API 实施的攻击可赋予攻击者看清一切的可见性。什么都好,直到攻击绕过用户身份验证过程,直达下游应用。由于 API 拥有不受限制的访问权限,通过 API 实施的攻击可赋予攻击者看清一切的可见性。


F5 Labs 将 API 描述为网络罪犯惯用手法易于突破的目标,指出 API 所用 URI(统一资源标识符)、方法、头和其他参数可被攻击者滥用。


研究人员称:事实上,大多数典型 Web 攻击,比如注入、凭证暴力破解、参数篡改和会话欺骗,效果惊人。


另一个关键问题,则是可见性。研究人员宣称,业内缺乏对 API 及其安全风险的态势感知。


研究人员称:API 本就应该在后台工作,这没什么不好;但如果连被黑也发生在后台,我们全部宝贵资料都在看不见的情况下被盗,就不好了。


业内缺乏对API及其安全风险的态势感知


正如我们在去年报告的后续跟进中指出的,API 连接的端口往往不止 80/443。它们通常深藏在 Web 服务器某处多层目录下,其架构细节也往往只有开发团队才清楚。


现实就是,安全团队可能看不到自身环境中可能存在有此类潜在影响的连接。


为缓解此类威胁,F5 建议公司企业做到以下几点:


1. 列出 API 清单,了解其架构和故障模式的影响;

2. 要求 API 身份验证;限制 API 权限;

3. 加密 API 连接;

4. 使用 API 专用工具,比如代理或防火墙;

5. 运用边界扫描、漏洞评估和渗透测试等手段测试 API。


上月曝光的 Capital One 黑客案中,检方宣称涉案黑客 Paige Thompson 可能入侵了其他 30 多个公司。该报告的发布正值检方透露该消息之时。但并无证据显示 Thompson 有意售卖或分发其盗取的数据。


《2019应用程序保护报告》:


https://www.f5.com/labs/articles/threat-intelligence/application-protection-report-2019-episode-5-api-breaches-and-the-visibility-problem


相关阅读

保护API安全是不可能的任务?

是时候关注API安全了

网络攻击新载体:API



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存