西甲五大联赛 在线 API 的五大身份验证坦然隐患

比来持续串的 API 坦然事件(Peloton、Experian、Clubhouse 等)无疑迫使很多坦然和开发团队仔细检查他们的 API 坦然状况,以确保它们不会成为下一个被抨击对象。创建面向外部受多的一切API的清单是机关在组相符或重新评估API坦然程序时最常见的起程点。有了这个清单,下一步是评估每个袒露的 API 的湮没坦然风险,比如弱身份验证或以明文式样袒露敏感数据。

国家新闻出版署:所有网络游戏企业仅可在周五、周六、周日和法定节假日每日 20 时至 21 时向未成年人提供 1 小时服务。

历年来,手机店被盗的消息都并不在少数,但是被一扫而光的情况以往只在国外的 Apple Store 才会出现,近期在国内的小米之家却也出现了类似的恶劣情况。

8 月 30 日,据新华社报道,国家新闻出版署有关负责人解释了《关于进一步严格管理 切实防止未成年人沉迷网络游戏的通知》的动态变化。

据了解,国家新闻出版署于 2019 年印发该《通知》,后续也建成了网络游戏防沉迷实名验证系统,实现了合规上线运营游戏的全部接入。

8 月 30 日,网曝光厦门瑞景广场小米之家店被洗劫。网传的一段视频显示,事发 8 月 30 日凌晨 2 点,有 5 个看起来年纪不大的孩子将门店玻璃门强行破坏推开,先后闯入厦门瑞景广场小米之家店。

OWASP API坦然Top 10为评估API清单的风险类型挑供了一个良益的框架。它们被列在前10位是有因为的,最常见和最主要的都排在前线。例如,列外中的前两个处理身份验证和授权,这两个都能够追溯到上面挑到的一些比来的API事件,这在坦然公司的客户环境中很常见。

未经身份验证的 API

未经身份验证的 API 是迄今为止在面向公多的 API 中检测到的最糟糕的事情,对于处理基本营业新闻的 API 尤其如此,这些新闻能够包含按照PCI或PHI法规的新闻。

API 的5 大身份验证坦然隐患

在处理必要营业数据的面向公多的 API 中匮乏身份验证的一个常见因为是,该 API 以前有意不进走身份验证,以声援不声援身份验证的遗留行使程序。以前能够是如许,但这并意外味着API答该保持盛开。今天,很多用户(包括外部和内部)将十足盛开地访问API。晓畅旧控制历史的人能够已经脱离了公司,所以,企业现在必要竭力填补这一差距。为这些破例情况掀开大门是绝对不克批准的,由于很稀奇人在以后的某个时间点再回往关闭大门。

最佳实践:永世不要安放未经验证的API西甲五大联赛 在线,不论是内部的照样面向公多的。

行使非空值身份验证令牌的 API

尽管很难想象,但清淡会发现 API 根本不行使 auth 令牌实现任何身份验证,而是仅检查乞求中是否存在一个。这个题目清淡比 API 中欠缺身份验证更令人震惊,由于这批准用户仅经过在 API 乞求中传递身份验证令牌来访问资源。令牌的实际值并不主要,由于行使程序仅检查乞求中是否存在身份验证令牌(任何身份验证令牌)。

API 的5 大身份验证坦然隐患

很难想到用这栽手段开发 API 的足够理由。能够他们匮乏在后端行使程序中实现身份验证逻辑所需的时间?灾难的是,抨击者无需消耗太多精力或时间即可行使这些 API。他们只必要为 auth 令牌发送一个非空值,API 乞求就会被成功处理。绝不该批准行使非空值令牌。曾经。它带来了“一时”行使但永世不会被删除的庞大风险。

最佳实践:起终为内部或面向公多的 API 分配令牌值。

API经过身份验证,但未经授权

只有身份验证而异国授权的 API 是另一个常见的漏洞。片面因为是实现用户身份验证“有余益”的概念,经过验证用户的授权权限几乎异国什么益处。弱点是这批准用户访问不属于他们的资源。

例如,倘若一个用户登录来检查他们的配置文件,而后端异国强制实走强授权检查。经过更改用户标识符,用户将能够“嗅探”并经过相通的API获守新闻。在这栽非往往见的API风险中,经过身份验证的用户能够经过浅易地枚举标识符来获取很多其他用户的新闻。

API 的5 大身份验证坦然隐患

倘若标识符是浅易的数值,例如抨击者能够轻盈枚举的 6 位数字,则此题目会变得更糟。最基本的提出是行使随机生成的字母-数字标识符,起码能够缓解(但不克清除)此类枚举抨击的风险。

最佳实践:起终实走强授权机制来添强化身份验证。

API令牌扩散

行使程序开发团队清淡声援迥异类型的身份验证集成与其 API 的迥异行使者。这最后导致 API 的身份验证手段松散,行使程序一切者难以管理。

例如,消耗者 A 能够会在乞求标头中发送一个名为 X-api-token 的 API 令牌,以向行使程序验证本身的身份。相逆,拥有相通API的消耗者B能够会以一个名为API -key的乞求参数发送他们的API令牌,第三个消耗者C能够会在Authorization头中发送他们的新闻。

API 的5 大身份验证坦然隐患

这栽迥异的手段导致 API 以多栽手段批准身份验证令牌,这些手段中的任何一个湮没漏洞,相通于吾们上面望到的那些,都能够危及一切这些手段的访问。吾们的提出是强制API定义(如Swagger规范)的相反性,然后在发布之前对效果进走测试以缓解风险。起码,在运走时发现API 并检测它们中是否存在如许的碎片验证题目是很主要的。

最佳实践:行使 API 规范框架强制实走相反性,并行使基于功能的测试计划超越基本的排泄测试。

带有不准确授权逻辑的API

具有不准确授权逻辑的 API 批准经过批准在矮权限环境(例如 dev 或 staging)中生成的身份验证令牌来访问高权限环境,例如生产环境。倘若用户能够轻盈访问生产环境中的敏感营业数据,这能够会敏捷升级为一个庞大漏洞。

API 的5 大身份验证坦然隐患

能干的抨击者能够能够从较矮的环境中获取身份验证令牌并将其重播到生产服务器。身份验证的糟糕实现将批准此类访问,由于身份验证令牌本身能够是有效的,但适用于舛讹的环境。为了修复这栽风险,必要将 auth 令牌的授权周围正当控制在批准访问的资源周围内。

最佳实践:行使 OAuth Scopes 或其他工具来创建和实走设计良益的授权后端。

总结

API 身份验证令牌实际上是你的行使程序中的关键。这 5 个身份验证漏洞都在客户环境中发现,使他们的 API 容易受到抨击者侵犯他们的行使程序并泄露他们无权访问的新闻的抨击。

创建清单并分析面向公多的 API 以在抨击者发布或发现它们之前找到身份验证漏洞专门主要。

本文翻译自:https://securityboulevard.com/2021/07/api-security-need-to-know-top-5-authentication-pitfalls/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+SecurityBloggersNetwork+(Security+Bloggers+Network)如若转载,请注解原文地址。

【编辑选举】西甲五大联赛 在线

鸿蒙官方战略配相符共建——HarmonyOS技术社区 为什么说,MQ,是互联网架构的解耦神器? Prometheus告警规则管理 最高法、人社部:“996”主要作恶!作废“996”,你们公司挑上日程了吗? Python正面硬刚C说话,效果会怎样? CNNIC:吾国已成为6G专利申请的主要来源国