程序员征服安全 OWASP 十大 API 系列-资产管理不当
与OWASP API前十名中的大多数漏洞不同,不当的资产管理并不专门以编码缺陷为中心。相反,这个漏洞更像是人为问题或管理问题,它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。如果仍在开发中的 API 在完全抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,该漏洞尤其难以管理。在这种环境中,新服务可能会迅速启动以满足临时需求,然后被遗忘并且永远不会停用。如果将较旧的 API 与生产环境保持连接,则可能会危及整个网络。
想尝试游戏化挑战这个安全漏洞吗?走进我们的竞技场: [从这里开始]
不当的资产管理漏洞如何影响 API?
不当的资产管理漏洞是现代的产物。以业务速度发展的组织有时每天可以启动成百上千的服务和微服务。这通常可以快速完成,无需创建任何附带文档,也无需解释相关 API 的用途、需要多长时间或其重要性。这会迅速产生 API 蔓延,随着时间的推移可能会变得无法控制,尤其是在没有一揽子政策来定义 API 可以存在多长时间的情况下。
在这种环境中,某些 API 很可能会丢失、被遗忘或从未停用。
有权在正常流程之外创建新服务的用户有时也是罪魁祸首。例如,营销小组可能会创建一项服务来帮助支持即将举行的活动,例如产品发布会,然后再也不会在活动结束后将其撤回。稍后查看该服务及其关联API的人可能不知道它们为什么存在,如果没有文档,它可能仍然是个谜。他们可能不愿意将这些 API 从生产环境中移除,甚至将其升级到新版本,因为他们不知道它们有多重要,也不知道它们在做什么。
该漏洞变得危险,因为框架中 API 的安全性会随着时间的推移而提高。研究人员可能会发现漏洞,或者可以增加额外的安全措施来阻止越来越流行的攻击。除非升级,否则较旧的API可能仍然容易受到这些攻击,因此黑客通常会搜索它们或使用自动化工具来寻找它们。
在 OWASP 提供的真实示例中,一家公司升级了用于搜索用户数据库的 API,以修补关键缺陷。但是他们错误地将旧的 API 留在原处。
攻击者注意到新 API 的位置类似于 (api.criticalservice.com/v2)。通过将网址替换为(api.criticalservice.com/v1),他们得以改用存在已知漏洞的旧 API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理漏洞
消除环境中不当资产管理漏洞的唯一方法是严格清点所有 API 及其用途和版本。这应该从清点现有 API 开始,重点关注诸如应将它们部署到哪个环境(例如生产或开发)、谁应该有网络访问权限,当然还有它们的版本等因素。
完成后,您需要实现一个流程,将文档自动添加到创建的任何新 API 或服务中。这应包括API的所有方面,包括速率限制、它如何处理请求和响应、资源共享、它可以连接到哪些端点、适用的任何相关政策,以及以后对其进行审计所需的任何其他内容。您还应避免在生产环境中使用非生产 API 或来自开发环境的 API。还可以考虑为API增加时间限制,其所有者必须证明继续使用API的合理性,以防止自动停用。
每当有新版本的活动 API 可用时,都要进行风险评估,以确定是否应该升级,以及该过程应如何进行,以避免中断生产环境。迁移到新 API 后,将旧 API 完全从环境中移除。
所有这些都有助于防止不当的资产管理漏洞损害您的组织、用户或网络。来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
与OWASP API前十名中的大多数漏洞不同,不当的资产管理并不专门以编码缺陷为中心。相反,这个漏洞更像是人为问题或管理问题,它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。如果仍在开发中的 API 在完全抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,该漏洞尤其难以管理。在这种环境中,新服务可能会迅速启动以满足临时需求,然后被遗忘并且永远不会停用。如果将较旧的 API 与生产环境保持连接,则可能会危及整个网络。
想尝试游戏化挑战这个安全漏洞吗?走进我们的竞技场: [从这里开始]
不当的资产管理漏洞如何影响 API?
不当的资产管理漏洞是现代的产物。以业务速度发展的组织有时每天可以启动成百上千的服务和微服务。这通常可以快速完成,无需创建任何附带文档,也无需解释相关 API 的用途、需要多长时间或其重要性。这会迅速产生 API 蔓延,随着时间的推移可能会变得无法控制,尤其是在没有一揽子政策来定义 API 可以存在多长时间的情况下。
在这种环境中,某些 API 很可能会丢失、被遗忘或从未停用。
有权在正常流程之外创建新服务的用户有时也是罪魁祸首。例如,营销小组可能会创建一项服务来帮助支持即将举行的活动,例如产品发布会,然后再也不会在活动结束后将其撤回。稍后查看该服务及其关联API的人可能不知道它们为什么存在,如果没有文档,它可能仍然是个谜。他们可能不愿意将这些 API 从生产环境中移除,甚至将其升级到新版本,因为他们不知道它们有多重要,也不知道它们在做什么。
该漏洞变得危险,因为框架中 API 的安全性会随着时间的推移而提高。研究人员可能会发现漏洞,或者可以增加额外的安全措施来阻止越来越流行的攻击。除非升级,否则较旧的API可能仍然容易受到这些攻击,因此黑客通常会搜索它们或使用自动化工具来寻找它们。
在 OWASP 提供的真实示例中,一家公司升级了用于搜索用户数据库的 API,以修补关键缺陷。但是他们错误地将旧的 API 留在原处。
攻击者注意到新 API 的位置类似于 (api.criticalservice.com/v2)。通过将网址替换为(api.criticalservice.com/v1),他们得以改用存在已知漏洞的旧 API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理漏洞
消除环境中不当资产管理漏洞的唯一方法是严格清点所有 API 及其用途和版本。这应该从清点现有 API 开始,重点关注诸如应将它们部署到哪个环境(例如生产或开发)、谁应该有网络访问权限,当然还有它们的版本等因素。
完成后,您需要实现一个流程,将文档自动添加到创建的任何新 API 或服务中。这应包括API的所有方面,包括速率限制、它如何处理请求和响应、资源共享、它可以连接到哪些端点、适用的任何相关政策,以及以后对其进行审计所需的任何其他内容。您还应避免在生产环境中使用非生产 API 或来自开发环境的 API。还可以考虑为API增加时间限制,其所有者必须证明继续使用API的合理性,以防止自动停用。
每当有新版本的活动 API 可用时,都要进行风险评估,以确定是否应该升级,以及该过程应如何进行,以避免中断生产环境。迁移到新 API 后,将旧 API 完全从环境中移除。
所有这些都有助于防止不当的资产管理漏洞损害您的组织、用户或网络。来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
与OWASP API前十名中的大多数漏洞不同,不当的资产管理并不专门以编码缺陷为中心。相反,这个漏洞更像是人为问题或管理问题,它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。如果仍在开发中的 API 在完全抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,该漏洞尤其难以管理。在这种环境中,新服务可能会迅速启动以满足临时需求,然后被遗忘并且永远不会停用。如果将较旧的 API 与生产环境保持连接,则可能会危及整个网络。
想尝试游戏化挑战这个安全漏洞吗?走进我们的竞技场: [从这里开始]
不当的资产管理漏洞如何影响 API?
不当的资产管理漏洞是现代的产物。以业务速度发展的组织有时每天可以启动成百上千的服务和微服务。这通常可以快速完成,无需创建任何附带文档,也无需解释相关 API 的用途、需要多长时间或其重要性。这会迅速产生 API 蔓延,随着时间的推移可能会变得无法控制,尤其是在没有一揽子政策来定义 API 可以存在多长时间的情况下。
在这种环境中,某些 API 很可能会丢失、被遗忘或从未停用。
有权在正常流程之外创建新服务的用户有时也是罪魁祸首。例如,营销小组可能会创建一项服务来帮助支持即将举行的活动,例如产品发布会,然后再也不会在活动结束后将其撤回。稍后查看该服务及其关联API的人可能不知道它们为什么存在,如果没有文档,它可能仍然是个谜。他们可能不愿意将这些 API 从生产环境中移除,甚至将其升级到新版本,因为他们不知道它们有多重要,也不知道它们在做什么。
该漏洞变得危险,因为框架中 API 的安全性会随着时间的推移而提高。研究人员可能会发现漏洞,或者可以增加额外的安全措施来阻止越来越流行的攻击。除非升级,否则较旧的API可能仍然容易受到这些攻击,因此黑客通常会搜索它们或使用自动化工具来寻找它们。
在 OWASP 提供的真实示例中,一家公司升级了用于搜索用户数据库的 API,以修补关键缺陷。但是他们错误地将旧的 API 留在原处。
攻击者注意到新 API 的位置类似于 (api.criticalservice.com/v2)。通过将网址替换为(api.criticalservice.com/v1),他们得以改用存在已知漏洞的旧 API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理漏洞
消除环境中不当资产管理漏洞的唯一方法是严格清点所有 API 及其用途和版本。这应该从清点现有 API 开始,重点关注诸如应将它们部署到哪个环境(例如生产或开发)、谁应该有网络访问权限,当然还有它们的版本等因素。
完成后,您需要实现一个流程,将文档自动添加到创建的任何新 API 或服务中。这应包括API的所有方面,包括速率限制、它如何处理请求和响应、资源共享、它可以连接到哪些端点、适用的任何相关政策,以及以后对其进行审计所需的任何其他内容。您还应避免在生产环境中使用非生产 API 或来自开发环境的 API。还可以考虑为API增加时间限制,其所有者必须证明继续使用API的合理性,以防止自动停用。
每当有新版本的活动 API 可用时,都要进行风险评估,以确定是否应该升级,以及该过程应如何进行,以避免中断生产环境。迁移到新 API 后,将旧 API 完全从环境中移除。
所有这些都有助于防止不当的资产管理漏洞损害您的组织、用户或网络。来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
与OWASP API前十名中的大多数漏洞不同,不当的资产管理并不专门以编码缺陷为中心。相反,这个漏洞更像是人为问题或管理问题,它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。如果仍在开发中的 API 在完全抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,该漏洞尤其难以管理。在这种环境中,新服务可能会迅速启动以满足临时需求,然后被遗忘并且永远不会停用。如果将较旧的 API 与生产环境保持连接,则可能会危及整个网络。
想尝试游戏化挑战这个安全漏洞吗?走进我们的竞技场: [从这里开始]
不当的资产管理漏洞如何影响 API?
不当的资产管理漏洞是现代的产物。以业务速度发展的组织有时每天可以启动成百上千的服务和微服务。这通常可以快速完成,无需创建任何附带文档,也无需解释相关 API 的用途、需要多长时间或其重要性。这会迅速产生 API 蔓延,随着时间的推移可能会变得无法控制,尤其是在没有一揽子政策来定义 API 可以存在多长时间的情况下。
在这种环境中,某些 API 很可能会丢失、被遗忘或从未停用。
有权在正常流程之外创建新服务的用户有时也是罪魁祸首。例如,营销小组可能会创建一项服务来帮助支持即将举行的活动,例如产品发布会,然后再也不会在活动结束后将其撤回。稍后查看该服务及其关联API的人可能不知道它们为什么存在,如果没有文档,它可能仍然是个谜。他们可能不愿意将这些 API 从生产环境中移除,甚至将其升级到新版本,因为他们不知道它们有多重要,也不知道它们在做什么。
该漏洞变得危险,因为框架中 API 的安全性会随着时间的推移而提高。研究人员可能会发现漏洞,或者可以增加额外的安全措施来阻止越来越流行的攻击。除非升级,否则较旧的API可能仍然容易受到这些攻击,因此黑客通常会搜索它们或使用自动化工具来寻找它们。
在 OWASP 提供的真实示例中,一家公司升级了用于搜索用户数据库的 API,以修补关键缺陷。但是他们错误地将旧的 API 留在原处。
攻击者注意到新 API 的位置类似于 (api.criticalservice.com/v2)。通过将网址替换为(api.criticalservice.com/v1),他们得以改用存在已知漏洞的旧 API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理漏洞
消除环境中不当资产管理漏洞的唯一方法是严格清点所有 API 及其用途和版本。这应该从清点现有 API 开始,重点关注诸如应将它们部署到哪个环境(例如生产或开发)、谁应该有网络访问权限,当然还有它们的版本等因素。
完成后,您需要实现一个流程,将文档自动添加到创建的任何新 API 或服务中。这应包括API的所有方面,包括速率限制、它如何处理请求和响应、资源共享、它可以连接到哪些端点、适用的任何相关政策,以及以后对其进行审计所需的任何其他内容。您还应避免在生产环境中使用非生产 API 或来自开发环境的 API。还可以考虑为API增加时间限制,其所有者必须证明继续使用API的合理性,以防止自动停用。
每当有新版本的活动 API 可用时,都要进行风险评估,以确定是否应该升级,以及该过程应如何进行,以避免中断生产环境。迁移到新 API 后,将旧 API 完全从环境中移除。
所有这些都有助于防止不当的资产管理漏洞损害您的组织、用户或网络。来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
