最新要闻
- 三缸豪车 雷克萨斯最入门SUV车型LBX官图发布:用上1.5L混动-世界微速讯
- 腾讯FPS王炸大作!《无畏契约》国服客户端预载:6月8日终测 焦点
- 夏季风扇和空调到底谁更健康?看完明白了
- 2023年5月新能源车批发销量出炉:比亚迪能打10个长城
- 半藏森林克隆人暂下线:还在内测 名额已满_焦点简讯
- ppt应该保存什么格式
- 每日播报!高中最特别的时刻!高考前最后一个晚自习还记得多少?
- 哪吒CEO张勇:哪吒S是最漂亮的B级车 还是100万内最好的轿跑 热门
- 迪士尼一边涨价一边裁员:门票卖到799元
- 女子酒驾被查 喝了几瓶菠萝啤 以为是饮料 天天新资讯
- 天天热头条丨《小美人鱼》反派人类公主凡妮莎剧照出炉:比美人鱼颜值高、超甜
- ST华铁(000976)6月5日主力资金净买入651.43万元 全球热闻
- 西部矿业: 目前上半年尚未结束,公司暂时没有收到锂资源公司分红的消息_每日快讯
- 今日黄金td行情分析(2023年6月5日)
- 前沿资讯!净化器原厂/第三方滤芯对比:差距高下立判
- 网传北京将出台摩托车新规 京A禁止过户 多方回应
手机
iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
- 警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- 男子被关545天申国赔:获赔18万多 驳回精神抚慰金
- 3天内26名本土感染者,辽宁确诊人数已超安徽
- 广西柳州一男子因纠纷杀害三人后自首
- 洱海坠机4名机组人员被批准为烈士 数千干部群众悼念
家电
API NEWS | Money Lover爆出潜在API漏洞_世界速看
欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
本周,我们带来的分享如下:
(相关资料图)
- Money Lover爆出潜在API漏洞
- 丰田管理运营平台的API漏洞
- 一篇关于标准测试遗漏的API缺陷文章
- Twitter宣布实施API付费,解决机器人滥用问题
Money Lover爆出潜在API漏洞
Dark Reading对越南Finsify开发的“Money Lover”应用程序中存在API潜在漏洞。Money Lover是一款管理个人财务的工具应用程序。它可以帮助用户记录和跟踪他们的支出、收入、预算、账单和债务等方面的情况。通过这个应用程序,用户可以更好地了解自己的财务状况,掌握自己的收支流水,制定更明智的理财计划。此外,Money Lover还提供了多种功能,如数据同步、报表分析、提醒通知等,使用户的财务管理更加方便和高效。
这个漏洞是由Trustwave研究员Troy Driver发现的,他在通过代理服务器路由流量时,发现了Money Lover的安全性问题。每个共享钱包的电子邮件地址、钱包名称和实时交易数据对他来说是可见的。研究人员没有透露发现的漏洞的确切细节,但说明这漏洞具有访问控制中断的所有特征,无论是对象级授权中断还是用户身份验证中断。
对象级授权中断漏洞指的是攻击者可以通过绕过应用程序中的授权检查,对未经授权的资源进行访问、修改或删除等操作。在Money Lover应用中,如果存在该漏洞,攻击者可能会利用此漏洞获取到其他用户的敏感信息,如账户余额、交易记录等,并且还可能篡改或删除用户的数据,导致用户的账户受损或者财务数据被泄露。
为了防范对象级授权中断漏洞,需要采取一些安全措施,例如:
- 对所有敏感资源进行访问控制,只允许经过授权的用户或角色进行访问和操作。
- 对关键业务逻辑进行审计和监控,及时发现并阻止未经授权的访问或操作。
- 对应用程序进行频繁的安全测试和漏洞扫描,发现并修复问题。
- 在开发过程中遵守安全最佳实践,如输入验证、输出编码、密码安全、错误处理等。
丰田管理运营平台的API漏洞
最近,安全研究员伊顿·兹韦尔(Eaton Zveare)发现了丰田公司管理运营的系统存在安全漏洞,可以让攻击者不受到监测地访问丰田内部的文件和用户账户。
这个问题涉及到超过14,000名用户和机密信息,如果攻击者利用漏洞加上他们自己的账户,就可以长期地获取丰田的数据,影响公司的全球运营。
幸运的是,丰田很快就修复了这个漏洞,成功地保护了公司和客户的信息安全。
Zveare声称,他能够利用安全性较差的应用程序编程接口(API)来闯入丰田GSPIMS系统,并可以完全访问丰田内部项目,文档和用户帐户,包括丰田外部合作伙伴/供应商的用户帐户。
该管理运营平台的API漏洞风险点,在于攻击者可以利用安全性较差的API接口入侵系统,完全访问丰田内部的项目、文档和用户账户,包括供应商和外部合作伙伴的账户,甚至能够访问机密文件和项目。攻击者可以添加自己的账户,并在不被发现的情况下永久访问丰田的数据,影响公司全球运营,带来严重的财务和声誉损失。
对于这种API漏洞,小阑建议可以采取以下防护措施:
- 加强API接口的安全性设计,对输入输出进行限制和过滤,防止恶意攻击行为;
- 建立严格的用户权限控制机制,只授权给有必要访问的人员,并对其进行监控和审计;
- 对关键数据进行加密和脱敏处理,防止泄密和信息泄露;
- 建立全面的安全事件应急预案和响应机制,确保在出现安全问题时能够及时安排应对措施,减少损失和影响。
关于标准测试遗漏的API缺陷
最近,《The Daily Swig》采访了Corey Ball,他分享了对2023年API安全性的看法。核心结论是,保护API安全需要一种不同于Web应用程序安全的方法。虽然Web应用程序安全工具对于防止基本漏洞缺陷(如SQL注入)仍然有用,但是它们无法全面了解API实现的上下文,从而无法检测某些类别的API漏洞。因此,我们需要针对API设计和实施专门的安全方法,才能更好地保障API的安全性。
Ball提到,随着API的广泛使用,它们越来越成为攻击者的主要攻击目标。网络上常见的API安全错误在数量上急剧增加,其中包括失效的对象级授权和缺失功能级授权等问题,这些授权错误使得攻击者可以未经授权地访问其他用户的数据。Ball表示:“由于API授权漏洞普遍存在,我们过于信任有效用户,并没有充分的测试来确保用户不能更改彼此的数据。” 因此,企业需要采取措施来防止这种情况发生,包括实施严格的API授权访问控制和进行充分的安全测试,才能确保API的安全性。
其实,在现实项目中,标准测试往往无法完全检测出所有API缺陷,除了文章中提到的问题,还有一些可能被遗漏的API缺陷:
- 认证问题:标准测试可能无法检测出API认证方案中存在的弱点或者未被发现的漏洞。
- 授权问题:由于授权问题通常涉及低频率事件或者特定场景,标准测试可能无法覆盖所有的授权场景并检测授权中的漏洞。
- 配置问题:API配置错误可能导致安全性问题。例如,未正确设置SSL/TLS证书、使用默认凭据等。这种问题不会在标准测试中得到充分检测。
- 数据保护问题:在API设计和实现阶段对数据保护进行不足的考虑可能导致安全问题。例如敏感数据的传输时没有加密保护。
- 持久性问题:标准测试可能无法完全检测出与API持久性相关的安全问题,例如应用程序逻辑错误、数据库注入、 文件系统攻击等。
- 安全日志记录问题:标准测试有可能无法检测出API安全日志记录的问题,如安全日志记录缺失或日志记录不足,这可能导致对安全事件的响应和恢复困难。
文章阐述的API漏洞主要是失效的对象级授权,让攻击者可以利用失效的对象级别授权的API端点,通过操纵在请求中发送的对象访问未经授权的敏感数据。这个问题在基于API的应用程序中极为常见,因为服务器组件通常不完全跟踪客户端的状态,而是更多地依赖于从客户端发送的对象ID等参数来决定对象的访问。
面对文章中所说的API漏洞问题,小阑建议:
- 实施依赖于用户策略和层次结构的适当的授权策略。
- 使用授权机制检查登录用户是否有权访问通过URL指定的资源。
- 使用随机或者不可预测的值作为记录ID,如GUID。
- 编写测试用例来评估授权机制的漏洞,不要发布测试失败的变更。
Twitter宣布实施API付费 解决机器人滥用问题
本周,简单介绍Twitter在打击滥用其API的机器人帐户方面的进展。报道谈到了Twitter在打击机器人造假帐号问题上的进展,这是Twitter面临的一个很大的问题。机器人可以被网络犯罪分子利用来传播垃圾邮件和恶意链接,同时也会影响公众舆论的形成。
Twitter团队宣布,他们将不再提供免费的API访问,有些人认为这是因为Twitter想借此手段赚更多的广告收入。一些人持怀疑态度,认为社交媒体网站可以采取更好的策略和工具来打击这种僵尸网络,例如:识别可疑帐户、使用专业工具、将帐户与现实世界的个人和组织联系起来等等。
恶意机器人滥用是一种利用API接口实现的攻击手段。攻击者可以编写特定的程序,利用API接口不断生成、发布大量自动化的虚假信息、垃圾邮件和恶意链接,从而诱骗用户点击、下载恶意软件或输入个人敏感信息,导致用户受到欺骗和侵害。
这种机器人的滥用会带来许多严重的后果,例如破坏公共秩序,诱发社会事件,影响公众舆论,甚至可能泄露用户个人隐私等。另外,由于恶意机器人是自动化的,因此攻击者可以轻松地制造大规模的攻击,这对网络安全形成了极大的威胁。
为了防范恶意机器人滥用,小阑建议可以采取以下措施:
- 加强API访问控制,增加用户认证和授权机制;
- 开发自动监控机制,及时检测和封禁异常行为;
- 使用机器学习和人工智能等技术,识别并过滤恶意机器人产生的信息;
- 鼓励用户提高安全意识,不轻易点击或下载未知来源的内容。
感谢http://APIsecurity.io提供相关内容
关键词:
API NEWS | Money Lover爆出潜在API漏洞_世界速看
探究GIS地图在城市规划、环境管理和农业领域的应用
【全球速看料】druid活跃线程数量持续增长问题
世界快报:数据的完整性是企业数字化转型的基础
近万条儿童科普知识大全ACCESS\EXCEL数据库
三缸豪车 雷克萨斯最入门SUV车型LBX官图发布:用上1.5L混动-世界微速讯
腾讯FPS王炸大作!《无畏契约》国服客户端预载:6月8日终测 焦点
夏季风扇和空调到底谁更健康?看完明白了
2023年5月新能源车批发销量出炉:比亚迪能打10个长城
半藏森林克隆人暂下线:还在内测 名额已满_焦点简讯
Java虚拟线程
9千多少儿百科全书百科知识ACCESS\EXCEL数据库|天天看热讯
环球速讯:【解决方法】loopback口添加同目的网段的地址后,无法用默认路由ping通该网段地址
ppt应该保存什么格式
【环球财经】日经股指涨破32000点 为1990年7月以来首次
每日播报!高中最特别的时刻!高考前最后一个晚自习还记得多少?
哪吒CEO张勇:哪吒S是最漂亮的B级车 还是100万内最好的轿跑 热门
迪士尼一边涨价一边裁员:门票卖到799元
女子酒驾被查 喝了几瓶菠萝啤 以为是饮料 天天新资讯
天天热头条丨《小美人鱼》反派人类公主凡妮莎剧照出炉:比美人鱼颜值高、超甜
ST华铁(000976)6月5日主力资金净买入651.43万元 全球热闻
ChatGLM-6B int4的本地部署与初步测试
Ambient Mesh:Istio 数据面新模式
某OA 11.10 未授权任意文件上传
判断非String对象是否为null,小伙竟然用StringUtils.isEmpty(obj+"")
全球负收益率债券规模反弹至近2万亿美元
西部矿业: 目前上半年尚未结束,公司暂时没有收到锂资源公司分红的消息_每日快讯
今日黄金td行情分析(2023年6月5日)
前沿资讯!净化器原厂/第三方滤芯对比:差距高下立判
网传北京将出台摩托车新规 京A禁止过户 多方回应
《暗黑4》玩家希望新角色继承地图数据:重新跑图太无聊 实时焦点
芯片投入决心绝不动摇!小米自研芯片公司玄戒增资至19.2亿 全球通讯
大众电动车高速收费站撞车爆燃致四人死亡 现场视频曝光:毫无减速_当前快看
MySQL的数据目录(Linux)
数据万象 | AIGC 存储内容安全解决方案
每日看点!Java SPI概念、实现原理、优缺点、应用场景、使用步骤、实战SPI案例
世界短讯!让人欣慰?老外呼吁热门IP都应改为黑人:受社会尊重 改变低人一等形象
视焦点讯!杭州一居民家门口地面有80℃ 热到烫脚:挖2小时后找到原因 网友称好险
.NET使用System.Speech轻松读取文本
环球快报:2023年最新辽宁省直住房公积金缴费基数是多少
新款Mac Pro现身跑分平台:M2 Ultra处理器 频率3.68 GHz
1.4kg重量就做到900ANSI流明!哈趣H2投影仪评测:旅行能用充电宝供电|每日报道
关注:不如隔壁New Bing:谷歌搜索AI功能被吐槽反应太慢
当前速讯:2023高考即将来临 应该怎么吃?专家科普:避免5个忌讳
50年前美国登月真的造假吗?日本将第三次挑战登月 证实可能性
苹果(AAPL.US)本周将举办开发者大会 首款头显终将亮相 环球快播报
2023陕西省大学生信息安全竞赛web writeup
世界速看:MySQL字符集与校对集规则说明
Linux环境安装JDK-焦点精选
取代手机不是吹!Win11原生运行安卓APP体验大升级:便捷丝滑-全球资讯
全球快看点丨乘客雨中候车 高铁站台为什么不能打伞上热搜:官方说明
两位国人男子放弃登顶珠峰花1万美元救人 获救女子只愿承担4成救援费 天天新消息
小鹏G6官宣神秘代言人:网友纷纷猜是林志颖! 环球资讯
世界今日讯!全脂/低脂可选:特仑苏纯牛奶2.7元/盒发车(商超6元)
两元人民币图片 两元人民币_每日速讯
今日美股市场行情快报(2023年6月5日)
《计算机网络》——华为基本配置命令_焦点热讯
700多心理测试性格测试大全ACCESS数据库 每日讯息
天天热资讯!帮你梳理了一份前端知识架构图
天天速读:亚马逊网络服务教程_编程入门自学教程_菜鸟教程-免费教程分享
今日热闻!hw面试常见中间件漏洞
特斯拉超充站充电 吃完饭下来“罚款”500!车主:这辈子不再买它了 当前热闻
XGP故障、键鼠无响应:Win11更新又出大量问题|天天快看
全球观点:明天出坞!我国首艘国产大型邮轮“爱达·魔都”内部实拍:可容纳5246人
经典重现!梁家辉把玩马自达CX-50行也车模 网友:别坐、堵车 世界百事通
微动态丨大众全新入门级轿车 朗逸XR即将上市!代替桑塔纳 或售5-7万
要闻速递:港股开盘 | 恒指高开0.34% 科网股表现分化 机构:三大因素支撑港股反弹
世界视点!SpringBoot打包成WAR包的时候把第三方jar包打到LIB文件夹下和把第三方jar包打入到SpringBoot jar包中
首批网红明星AI克隆人上线,花30元可与知名网红视频聊天
行驶中方向盘可能会掉 特斯拉召回部分Model Y!中国车主不受影响 前沿资讯
环球百事通!微软Office 365 AI定价曝光:年费10万美元 已有100家客户
反向带货 长安汽车4S直播间上演“尾翼夹手”:女销售惨叫不已_全球热文
宝骏悦也后装增程版方案出炉:4L油箱多跑80km、售价2000元-全球热推荐
人才!顾客打印身份证后怕泄露隐私 顺手把老板电脑系统重装了
6月5日最新秘鲁鱼粉外盘价格
AVX512惹麻烦 英特尔大小核给AMD上了一课 Zen5锐龙吸取教训
苹果首款头显明天发布!郭明錤泼冷水:类ChatGPT更重要
日本车的又一个基本盘:要崩了 天天看热讯
世界快报:全球首架载人“飞碟”在深圳起飞:水陆两栖起降 最快50km/h
变阵!热火总决赛G2首发:乐福顶替马丁出任首发!
每日动态!Blazor 使用代码直接在新窗口打开链接, 获取窗口宽度, 使用cookie
如何在Linux上启用 Nginx 的 HTTP/2 协议支持-聚看点
【读财报】公募REITs透视:建信、中金基金年内回撤逾15% 华安、博时基金等启动首批扩募
关于开通招商智星稳健配置混合型基金中基金(FOF-LOF)A类份额跨系统转托管业务的公告_环球时讯
国产大飞机C919商业首飞圆满成功:国产化率60% 年产能将达50架|全球通讯
顺利交付!神十五航天员带回了20多公斤实验样品:竟有一种虫子_最资讯
10年前的显卡都流畅 《暗黑4》被曝移植苹果平台:iPad也能玩_环球快报
还说4G成熟够用?中国网速全面秒美国 邬贺铨:总用户数激增 向5.5G发展
全球快资讯:读改变未来的九大算法笔记04_公钥加密
孩子严重烫伤9天才被家长送医 听偏方治疗:据给孩子手术 网友无语
SSD硬盘暴跌 你仍然需要一块机械硬盘:存数据更安全-世界短讯
实时:河南一村庄修路挖出大石龟?官方通报:上世纪修路埋的
柘汪中学:青少年科技教育成果丰硕
【DNS】域名服务 Bind实现
ASP.NET Core MVC 从入门到精通之自动映射(二)-独家焦点
实时焦点:不是我说 iPhone拍照怎么就像富士相机了?
世界热推荐:NVIDIA黄仁勋:我们从未忘记游戏玩家!
号称使用AI独立管理基金的私募改口了:AI并非主要用于交易 热点
人间第一情歌词完整版原唱_人间第一情歌词|全球看热讯
实时焦点:今金贷最新退付消息:2023年兑付最新声明退付通知(退付进展告知)