程序员征服安全 OWASP 十大 API 系列-资产管理不当
与OWASP API前十名中的大多数漏洞不同,不当的资产管理并不专门以编码缺陷为中心。相反,这个漏洞更像是人为问题或管理问题,它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。如果仍在开发中的 API 在完全抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,该漏洞尤其难以管理。在这种环境中,新服务可能会迅速启动以满足临时需求,然后被遗忘并且永远不会停用。如果将较旧的 API 与生产环境保持连接,则可能会危及整个网络。
想尝试游戏化挑战这个安全漏洞吗?走进我们的竞技场: [从这里开始]
不当的资产管理漏洞如何影响 API?
不当的资产管理漏洞是现代的产物。以业务速度发展的组织有时每天可以启动成百上千的服务和微服务。这通常可以快速完成,无需创建任何附带文档,也无需解释相关 API 的用途、需要多长时间或其重要性。这会迅速产生 API 蔓延,随着时间的推移可能会变得无法控制,尤其是在没有一揽子政策来定义 API 可以存在多长时间的情况下。
在这种环境中,某些 API 很可能会丢失、被遗忘或从未停用。
有权在正常流程之外创建新服务的用户有时也是罪魁祸首。例如,营销小组可能会创建一项服务来帮助支持即将举行的活动,例如产品发布会,然后再也不会在活动结束后将其撤回。稍后查看该服务及其关联API的人可能不知道它们为什么存在,如果没有文档,它可能仍然是个谜。他们可能不愿意将这些 API 从生产环境中移除,甚至将其升级到新版本,因为他们不知道它们有多重要,也不知道它们在做什么。
该漏洞变得危险,因为框架中 API 的安全性会随着时间的推移而提高。研究人员可能会发现漏洞,或者可以增加额外的安全措施来阻止越来越流行的攻击。除非升级,否则较旧的API可能仍然容易受到这些攻击,因此黑客通常会搜索它们或使用自动化工具来寻找它们。
在 OWASP 提供的真实示例中,一家公司升级了用于搜索用户数据库的 API,以修补关键缺陷。但是他们错误地将旧的 API 留在原处。
攻击者注意到新 API 的位置类似于 (api.criticalservice.com/v2)。通过将网址替换为(api.criticalservice.com/v1),他们得以改用存在已知漏洞的旧 API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理漏洞
消除环境中不当资产管理漏洞的唯一方法是严格清点所有 API 及其用途和版本。这应该从清点现有 API 开始,重点关注诸如应将它们部署到哪个环境(例如生产或开发)、谁应该有网络访问权限,当然还有它们的版本等因素。
完成后,您需要实现一个流程,将文档自动添加到创建的任何新 API 或服务中。这应包括API的所有方面,包括速率限制、它如何处理请求和响应、资源共享、它可以连接到哪些端点、适用的任何相关政策,以及以后对其进行审计所需的任何其他内容。您还应避免在生产环境中使用非生产 API 或来自开发环境的 API。还可以考虑为API增加时间限制,其所有者必须证明继续使用API的合理性,以防止自动停用。
每当有新版本的活动 API 可用时,都要进行风险评估,以确定是否应该升级,以及该过程应如何进行,以避免中断生产环境。迁移到新 API 后,将旧 API 完全从环境中移除。
所有这些都有助于防止不当的资产管理漏洞损害您的组织、用户或网络。来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
与OWASP API前十名中的大多数漏洞不同,不当的资产管理并不专门以编码缺陷为中心。相反,这个漏洞更像是人为问题或管理问题,它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。如果仍在开发中的 API 在完全抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,该漏洞尤其难以管理。在这种环境中,新服务可能会迅速启动以满足临时需求,然后被遗忘并且永远不会停用。如果将较旧的 API 与生产环境保持连接,则可能会危及整个网络。
想尝试游戏化挑战这个安全漏洞吗?走进我们的竞技场: [从这里开始]
不当的资产管理漏洞如何影响 API?
不当的资产管理漏洞是现代的产物。以业务速度发展的组织有时每天可以启动成百上千的服务和微服务。这通常可以快速完成,无需创建任何附带文档,也无需解释相关 API 的用途、需要多长时间或其重要性。这会迅速产生 API 蔓延,随着时间的推移可能会变得无法控制,尤其是在没有一揽子政策来定义 API 可以存在多长时间的情况下。
在这种环境中,某些 API 很可能会丢失、被遗忘或从未停用。
有权在正常流程之外创建新服务的用户有时也是罪魁祸首。例如,营销小组可能会创建一项服务来帮助支持即将举行的活动,例如产品发布会,然后再也不会在活动结束后将其撤回。稍后查看该服务及其关联API的人可能不知道它们为什么存在,如果没有文档,它可能仍然是个谜。他们可能不愿意将这些 API 从生产环境中移除,甚至将其升级到新版本,因为他们不知道它们有多重要,也不知道它们在做什么。
该漏洞变得危险,因为框架中 API 的安全性会随着时间的推移而提高。研究人员可能会发现漏洞,或者可以增加额外的安全措施来阻止越来越流行的攻击。除非升级,否则较旧的API可能仍然容易受到这些攻击,因此黑客通常会搜索它们或使用自动化工具来寻找它们。
在 OWASP 提供的真实示例中,一家公司升级了用于搜索用户数据库的 API,以修补关键缺陷。但是他们错误地将旧的 API 留在原处。
攻击者注意到新 API 的位置类似于 (api.criticalservice.com/v2)。通过将网址替换为(api.criticalservice.com/v1),他们得以改用存在已知漏洞的旧 API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理漏洞
消除环境中不当资产管理漏洞的唯一方法是严格清点所有 API 及其用途和版本。这应该从清点现有 API 开始,重点关注诸如应将它们部署到哪个环境(例如生产或开发)、谁应该有网络访问权限,当然还有它们的版本等因素。
完成后,您需要实现一个流程,将文档自动添加到创建的任何新 API 或服务中。这应包括API的所有方面,包括速率限制、它如何处理请求和响应、资源共享、它可以连接到哪些端点、适用的任何相关政策,以及以后对其进行审计所需的任何其他内容。您还应避免在生产环境中使用非生产 API 或来自开发环境的 API。还可以考虑为API增加时间限制,其所有者必须证明继续使用API的合理性,以防止自动停用。
每当有新版本的活动 API 可用时,都要进行风险评估,以确定是否应该升级,以及该过程应如何进行,以避免中断生产环境。迁移到新 API 后,将旧 API 完全从环境中移除。
所有这些都有助于防止不当的资产管理漏洞损害您的组织、用户或网络。来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
与OWASP API前十名中的大多数漏洞不同,不当的资产管理并不专门以编码缺陷为中心。相反,这个漏洞更像是人为问题或管理问题,它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。如果仍在开发中的 API 在完全抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,该漏洞尤其难以管理。在这种环境中,新服务可能会迅速启动以满足临时需求,然后被遗忘并且永远不会停用。如果将较旧的 API 与生产环境保持连接,则可能会危及整个网络。
想尝试游戏化挑战这个安全漏洞吗?走进我们的竞技场: [从这里开始]
不当的资产管理漏洞如何影响 API?
不当的资产管理漏洞是现代的产物。以业务速度发展的组织有时每天可以启动成百上千的服务和微服务。这通常可以快速完成,无需创建任何附带文档,也无需解释相关 API 的用途、需要多长时间或其重要性。这会迅速产生 API 蔓延,随着时间的推移可能会变得无法控制,尤其是在没有一揽子政策来定义 API 可以存在多长时间的情况下。
在这种环境中,某些 API 很可能会丢失、被遗忘或从未停用。
有权在正常流程之外创建新服务的用户有时也是罪魁祸首。例如,营销小组可能会创建一项服务来帮助支持即将举行的活动,例如产品发布会,然后再也不会在活动结束后将其撤回。稍后查看该服务及其关联API的人可能不知道它们为什么存在,如果没有文档,它可能仍然是个谜。他们可能不愿意将这些 API 从生产环境中移除,甚至将其升级到新版本,因为他们不知道它们有多重要,也不知道它们在做什么。
该漏洞变得危险,因为框架中 API 的安全性会随着时间的推移而提高。研究人员可能会发现漏洞,或者可以增加额外的安全措施来阻止越来越流行的攻击。除非升级,否则较旧的API可能仍然容易受到这些攻击,因此黑客通常会搜索它们或使用自动化工具来寻找它们。
在 OWASP 提供的真实示例中,一家公司升级了用于搜索用户数据库的 API,以修补关键缺陷。但是他们错误地将旧的 API 留在原处。
攻击者注意到新 API 的位置类似于 (api.criticalservice.com/v2)。通过将网址替换为(api.criticalservice.com/v1),他们得以改用存在已知漏洞的旧 API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理漏洞
消除环境中不当资产管理漏洞的唯一方法是严格清点所有 API 及其用途和版本。这应该从清点现有 API 开始,重点关注诸如应将它们部署到哪个环境(例如生产或开发)、谁应该有网络访问权限,当然还有它们的版本等因素。
完成后,您需要实现一个流程,将文档自动添加到创建的任何新 API 或服务中。这应包括API的所有方面,包括速率限制、它如何处理请求和响应、资源共享、它可以连接到哪些端点、适用的任何相关政策,以及以后对其进行审计所需的任何其他内容。您还应避免在生产环境中使用非生产 API 或来自开发环境的 API。还可以考虑为API增加时间限制,其所有者必须证明继续使用API的合理性,以防止自动停用。
每当有新版本的活动 API 可用时,都要进行风险评估,以确定是否应该升级,以及该过程应如何进行,以避免中断生产环境。迁移到新 API 后,将旧 API 完全从环境中移除。
所有这些都有助于防止不当的资产管理漏洞损害您的组织、用户或网络。来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
与OWASP API前十名中的大多数漏洞不同,不当的资产管理并不专门以编码缺陷为中心。相反,这个漏洞更像是人为问题或管理问题,它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。如果仍在开发中的 API 在完全抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,该漏洞尤其难以管理。在这种环境中,新服务可能会迅速启动以满足临时需求,然后被遗忘并且永远不会停用。如果将较旧的 API 与生产环境保持连接,则可能会危及整个网络。
想尝试游戏化挑战这个安全漏洞吗?走进我们的竞技场: [从这里开始]
不当的资产管理漏洞如何影响 API?
不当的资产管理漏洞是现代的产物。以业务速度发展的组织有时每天可以启动成百上千的服务和微服务。这通常可以快速完成,无需创建任何附带文档,也无需解释相关 API 的用途、需要多长时间或其重要性。这会迅速产生 API 蔓延,随着时间的推移可能会变得无法控制,尤其是在没有一揽子政策来定义 API 可以存在多长时间的情况下。
在这种环境中,某些 API 很可能会丢失、被遗忘或从未停用。
有权在正常流程之外创建新服务的用户有时也是罪魁祸首。例如,营销小组可能会创建一项服务来帮助支持即将举行的活动,例如产品发布会,然后再也不会在活动结束后将其撤回。稍后查看该服务及其关联API的人可能不知道它们为什么存在,如果没有文档,它可能仍然是个谜。他们可能不愿意将这些 API 从生产环境中移除,甚至将其升级到新版本,因为他们不知道它们有多重要,也不知道它们在做什么。
该漏洞变得危险,因为框架中 API 的安全性会随着时间的推移而提高。研究人员可能会发现漏洞,或者可以增加额外的安全措施来阻止越来越流行的攻击。除非升级,否则较旧的API可能仍然容易受到这些攻击,因此黑客通常会搜索它们或使用自动化工具来寻找它们。
在 OWASP 提供的真实示例中,一家公司升级了用于搜索用户数据库的 API,以修补关键缺陷。但是他们错误地将旧的 API 留在原处。
攻击者注意到新 API 的位置类似于 (api.criticalservice.com/v2)。通过将网址替换为(api.criticalservice.com/v1),他们得以改用存在已知漏洞的旧 API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理漏洞
消除环境中不当资产管理漏洞的唯一方法是严格清点所有 API 及其用途和版本。这应该从清点现有 API 开始,重点关注诸如应将它们部署到哪个环境(例如生产或开发)、谁应该有网络访问权限,当然还有它们的版本等因素。
完成后,您需要实现一个流程,将文档自动添加到创建的任何新 API 或服务中。这应包括API的所有方面,包括速率限制、它如何处理请求和响应、资源共享、它可以连接到哪些端点、适用的任何相关政策,以及以后对其进行审计所需的任何其他内容。您还应避免在生产环境中使用非生产 API 或来自开发环境的 API。还可以考虑为API增加时间限制,其所有者必须证明继续使用API的合理性,以防止自动停用。
每当有新版本的活动 API 可用时,都要进行风险评估,以确定是否应该升级,以及该过程应如何进行,以避免中断生产环境。迁移到新 API 后,将旧 API 完全从环境中移除。
所有这些都有助于防止不当的资产管理漏洞损害您的组织、用户或网络。来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
