泄露的API有可能使公司的声誉化为乌有
通常,在生活中,沟通是一件好事。要理解、学习新知识或建立关系,没有比这更快的方法了。在软件领域,API起着通信的作用,允许应用程序相互通信,从而增强功能和可用性。这种连接通常会带来更丰富的体验,最终用户喜欢,并且在日常生活中对软件的期望也越来越高。
但是,就像在现实生活中一样,当他们说话太多时,这是一个大问题。益百利最近艰难地发现了这一点,当时他们的一款API——由第三方合作伙伴使用—— 可能泄露 ... 好吧,几乎每个美国公民的信用评分。
这个问题很快就被修补了,但是这个漏洞是否真的被阻止了,仍然存在疑问。如果一家供应商受到影响,那么其他供应商很可能也受到影响,而且有可能是 系统性错误,影响任何使用该不安全 API 的人。
API 安全性是大多数安全专家心目中不远的问题,也是我们需要掌握应对的知识。
任何勇敢的极客都可以绕过糟糕的 API 身份验证
许多数据泄露、泄露和安全事件的一个特点是,它们很少需要策划者才能实现。就像我们在SolarWinds中看到的那样,复杂、阴险、破坏性的攻击需要网络犯罪天才团队来实施,它们是例外而不是常规。
当使用弱身份验证构建 API 时,它们很容易被利用。发现益百利API漏洞的安全研究人员比尔·德米尔卡皮确定无需任何身份验证即可访问该漏洞。在 “出生日期” 字段中输入 00/00/0000 可让他仅使用姓名和相关邮寄地址等公开信息,获得个人的信用评分。尽管尚未对此进行报道,但这些记录确实有可能被抓取并归纳为与信贷相关的数据转储库(因此很有价值)。
无论用例多小,都应采用干净实用的身份验证流程;没有适当保护并有可能开放多个系统的访问权限的聊天框API是一种负担。
失效的身份验证是第二位 OWASP 排名前 10 的 API 漏洞列表。 在这里阅读更多 介绍如何避免这个错误,并在你完成大脑喂养后在我们的平台上测试你的技能。
API 安全控制不力是一个普遍存在的问题,需要进行文化变革
仅指责益百利这样的组织是不公平的,但是对于许多将API作为其IT系统和端点一部分的公司而言,这种特殊的API暴露中表现出的缺乏细微差别和安全控制调查并不是一个好兆头。
总的来说,我们还有很多工作要做,不仅要发现和修复 API 漏洞,还要将其理解为我们应该保护的攻击面的一部分。API 的可见性——以及它们的构建方式——是一个非常令人担忧的问题,也是安全最佳实践的一部分。即使是采用最严格安全措施的组织,也可能会发现自己被在公司安全控制之外发布和运行的 API 所抵消。询问 API 来自哪里,最终由谁维护(是第三方供应商吗?)比以往任何时候都更加重要他们的安全性有多严格?),以及它正在访问什么信息。
注入漏洞仍然是每个 CISO 的灵药。
API 安全可能看起来像是一个相当新的模块,可以包含在安全程序中,但它可能会被我们在普通的旧网络软件中看到的一些(非常)旧技巧所利用。
一个 最近披露了对 Accellion 的攻击 透露,连锁的SQL注入和操作系统命令执行攻击允许威胁行为者操纵API,提取大量敏感数据,包括社会安全号码。他们确定,攻击者必须对Accellion的FTA软件有广泛的了解才能进行抢劫,而这本来可以通过大量的逆向工程来实现。
由于漏洞发生在2020年12月和2021年1月,盗贼有足够的时间造成损失。2021 年 2 月的进一步发现发现了一个存储的 XSS 漏洞,取证分析发现,只有一个 API 端点未正确清理用户输入,使得在调用时注入参数成为可能 admin.pl 脚本。
该漏洞拥有3000多名客户,包括许多著名的教育机构,可能影响深远。不幸的是,这些漏洞是通过利用常见漏洞实现的,其中许多漏洞本可以由具有安全意识的开发人员在预生产阶段的代码级别上解决。正如我们一次又一次地看到的那样,只需要打开一个小窗口就能产生大问题。而且,以人为主导的网络防御文化需要成为解决一个非常人性化的问题的战略的一部分。
现在想测试你的 API 安全技能 Java Spring API, Kotlin Spring API, C# (.NET) Web API 还有更多?在我们的学习平台上尝试一些 API 挑战(通过下拉菜单查看所有语言:框架):
Director General, Presidente y Cofundador
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
通常,在生活中,沟通是一件好事。要理解、学习新知识或建立关系,没有比这更快的方法了。在软件领域,API起着通信的作用,允许应用程序相互通信,从而增强功能和可用性。这种连接通常会带来更丰富的体验,最终用户喜欢,并且在日常生活中对软件的期望也越来越高。
但是,就像在现实生活中一样,当他们说话太多时,这是一个大问题。益百利最近艰难地发现了这一点,当时他们的一款API——由第三方合作伙伴使用—— 可能泄露 ... 好吧,几乎每个美国公民的信用评分。
这个问题很快就被修补了,但是这个漏洞是否真的被阻止了,仍然存在疑问。如果一家供应商受到影响,那么其他供应商很可能也受到影响,而且有可能是 系统性错误,影响任何使用该不安全 API 的人。
API 安全性是大多数安全专家心目中不远的问题,也是我们需要掌握应对的知识。
任何勇敢的极客都可以绕过糟糕的 API 身份验证
许多数据泄露、泄露和安全事件的一个特点是,它们很少需要策划者才能实现。就像我们在SolarWinds中看到的那样,复杂、阴险、破坏性的攻击需要网络犯罪天才团队来实施,它们是例外而不是常规。
当使用弱身份验证构建 API 时,它们很容易被利用。发现益百利API漏洞的安全研究人员比尔·德米尔卡皮确定无需任何身份验证即可访问该漏洞。在 “出生日期” 字段中输入 00/00/0000 可让他仅使用姓名和相关邮寄地址等公开信息,获得个人的信用评分。尽管尚未对此进行报道,但这些记录确实有可能被抓取并归纳为与信贷相关的数据转储库(因此很有价值)。
无论用例多小,都应采用干净实用的身份验证流程;没有适当保护并有可能开放多个系统的访问权限的聊天框API是一种负担。
失效的身份验证是第二位 OWASP 排名前 10 的 API 漏洞列表。 在这里阅读更多 介绍如何避免这个错误,并在你完成大脑喂养后在我们的平台上测试你的技能。
API 安全控制不力是一个普遍存在的问题,需要进行文化变革
仅指责益百利这样的组织是不公平的,但是对于许多将API作为其IT系统和端点一部分的公司而言,这种特殊的API暴露中表现出的缺乏细微差别和安全控制调查并不是一个好兆头。
总的来说,我们还有很多工作要做,不仅要发现和修复 API 漏洞,还要将其理解为我们应该保护的攻击面的一部分。API 的可见性——以及它们的构建方式——是一个非常令人担忧的问题,也是安全最佳实践的一部分。即使是采用最严格安全措施的组织,也可能会发现自己被在公司安全控制之外发布和运行的 API 所抵消。询问 API 来自哪里,最终由谁维护(是第三方供应商吗?)比以往任何时候都更加重要他们的安全性有多严格?),以及它正在访问什么信息。
注入漏洞仍然是每个 CISO 的灵药。
API 安全可能看起来像是一个相当新的模块,可以包含在安全程序中,但它可能会被我们在普通的旧网络软件中看到的一些(非常)旧技巧所利用。
一个 最近披露了对 Accellion 的攻击 透露,连锁的SQL注入和操作系统命令执行攻击允许威胁行为者操纵API,提取大量敏感数据,包括社会安全号码。他们确定,攻击者必须对Accellion的FTA软件有广泛的了解才能进行抢劫,而这本来可以通过大量的逆向工程来实现。
由于漏洞发生在2020年12月和2021年1月,盗贼有足够的时间造成损失。2021 年 2 月的进一步发现发现了一个存储的 XSS 漏洞,取证分析发现,只有一个 API 端点未正确清理用户输入,使得在调用时注入参数成为可能 admin.pl 脚本。
该漏洞拥有3000多名客户,包括许多著名的教育机构,可能影响深远。不幸的是,这些漏洞是通过利用常见漏洞实现的,其中许多漏洞本可以由具有安全意识的开发人员在预生产阶段的代码级别上解决。正如我们一次又一次地看到的那样,只需要打开一个小窗口就能产生大问题。而且,以人为主导的网络防御文化需要成为解决一个非常人性化的问题的战略的一部分。
现在想测试你的 API 安全技能 Java Spring API, Kotlin Spring API, C# (.NET) Web API 还有更多?在我们的学习平台上尝试一些 API 挑战(通过下拉菜单查看所有语言:框架):
通常,在生活中,沟通是一件好事。要理解、学习新知识或建立关系,没有比这更快的方法了。在软件领域,API起着通信的作用,允许应用程序相互通信,从而增强功能和可用性。这种连接通常会带来更丰富的体验,最终用户喜欢,并且在日常生活中对软件的期望也越来越高。
但是,就像在现实生活中一样,当他们说话太多时,这是一个大问题。益百利最近艰难地发现了这一点,当时他们的一款API——由第三方合作伙伴使用—— 可能泄露 ... 好吧,几乎每个美国公民的信用评分。
这个问题很快就被修补了,但是这个漏洞是否真的被阻止了,仍然存在疑问。如果一家供应商受到影响,那么其他供应商很可能也受到影响,而且有可能是 系统性错误,影响任何使用该不安全 API 的人。
API 安全性是大多数安全专家心目中不远的问题,也是我们需要掌握应对的知识。
任何勇敢的极客都可以绕过糟糕的 API 身份验证
许多数据泄露、泄露和安全事件的一个特点是,它们很少需要策划者才能实现。就像我们在SolarWinds中看到的那样,复杂、阴险、破坏性的攻击需要网络犯罪天才团队来实施,它们是例外而不是常规。
当使用弱身份验证构建 API 时,它们很容易被利用。发现益百利API漏洞的安全研究人员比尔·德米尔卡皮确定无需任何身份验证即可访问该漏洞。在 “出生日期” 字段中输入 00/00/0000 可让他仅使用姓名和相关邮寄地址等公开信息,获得个人的信用评分。尽管尚未对此进行报道,但这些记录确实有可能被抓取并归纳为与信贷相关的数据转储库(因此很有价值)。
无论用例多小,都应采用干净实用的身份验证流程;没有适当保护并有可能开放多个系统的访问权限的聊天框API是一种负担。
失效的身份验证是第二位 OWASP 排名前 10 的 API 漏洞列表。 在这里阅读更多 介绍如何避免这个错误,并在你完成大脑喂养后在我们的平台上测试你的技能。
API 安全控制不力是一个普遍存在的问题,需要进行文化变革
仅指责益百利这样的组织是不公平的,但是对于许多将API作为其IT系统和端点一部分的公司而言,这种特殊的API暴露中表现出的缺乏细微差别和安全控制调查并不是一个好兆头。
总的来说,我们还有很多工作要做,不仅要发现和修复 API 漏洞,还要将其理解为我们应该保护的攻击面的一部分。API 的可见性——以及它们的构建方式——是一个非常令人担忧的问题,也是安全最佳实践的一部分。即使是采用最严格安全措施的组织,也可能会发现自己被在公司安全控制之外发布和运行的 API 所抵消。询问 API 来自哪里,最终由谁维护(是第三方供应商吗?)比以往任何时候都更加重要他们的安全性有多严格?),以及它正在访问什么信息。
注入漏洞仍然是每个 CISO 的灵药。
API 安全可能看起来像是一个相当新的模块,可以包含在安全程序中,但它可能会被我们在普通的旧网络软件中看到的一些(非常)旧技巧所利用。
一个 最近披露了对 Accellion 的攻击 透露,连锁的SQL注入和操作系统命令执行攻击允许威胁行为者操纵API,提取大量敏感数据,包括社会安全号码。他们确定,攻击者必须对Accellion的FTA软件有广泛的了解才能进行抢劫,而这本来可以通过大量的逆向工程来实现。
由于漏洞发生在2020年12月和2021年1月,盗贼有足够的时间造成损失。2021 年 2 月的进一步发现发现了一个存储的 XSS 漏洞,取证分析发现,只有一个 API 端点未正确清理用户输入,使得在调用时注入参数成为可能 admin.pl 脚本。
该漏洞拥有3000多名客户,包括许多著名的教育机构,可能影响深远。不幸的是,这些漏洞是通过利用常见漏洞实现的,其中许多漏洞本可以由具有安全意识的开发人员在预生产阶段的代码级别上解决。正如我们一次又一次地看到的那样,只需要打开一个小窗口就能产生大问题。而且,以人为主导的网络防御文化需要成为解决一个非常人性化的问题的战略的一部分。
现在想测试你的 API 安全技能 Java Spring API, Kotlin Spring API, C# (.NET) Web API 还有更多?在我们的学习平台上尝试一些 API 挑战(通过下拉菜单查看所有语言:框架):
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
通常,在生活中,沟通是一件好事。要理解、学习新知识或建立关系,没有比这更快的方法了。在软件领域,API起着通信的作用,允许应用程序相互通信,从而增强功能和可用性。这种连接通常会带来更丰富的体验,最终用户喜欢,并且在日常生活中对软件的期望也越来越高。
但是,就像在现实生活中一样,当他们说话太多时,这是一个大问题。益百利最近艰难地发现了这一点,当时他们的一款API——由第三方合作伙伴使用—— 可能泄露 ... 好吧,几乎每个美国公民的信用评分。
这个问题很快就被修补了,但是这个漏洞是否真的被阻止了,仍然存在疑问。如果一家供应商受到影响,那么其他供应商很可能也受到影响,而且有可能是 系统性错误,影响任何使用该不安全 API 的人。
API 安全性是大多数安全专家心目中不远的问题,也是我们需要掌握应对的知识。
任何勇敢的极客都可以绕过糟糕的 API 身份验证
许多数据泄露、泄露和安全事件的一个特点是,它们很少需要策划者才能实现。就像我们在SolarWinds中看到的那样,复杂、阴险、破坏性的攻击需要网络犯罪天才团队来实施,它们是例外而不是常规。
当使用弱身份验证构建 API 时,它们很容易被利用。发现益百利API漏洞的安全研究人员比尔·德米尔卡皮确定无需任何身份验证即可访问该漏洞。在 “出生日期” 字段中输入 00/00/0000 可让他仅使用姓名和相关邮寄地址等公开信息,获得个人的信用评分。尽管尚未对此进行报道,但这些记录确实有可能被抓取并归纳为与信贷相关的数据转储库(因此很有价值)。
无论用例多小,都应采用干净实用的身份验证流程;没有适当保护并有可能开放多个系统的访问权限的聊天框API是一种负担。
失效的身份验证是第二位 OWASP 排名前 10 的 API 漏洞列表。 在这里阅读更多 介绍如何避免这个错误,并在你完成大脑喂养后在我们的平台上测试你的技能。
API 安全控制不力是一个普遍存在的问题,需要进行文化变革
仅指责益百利这样的组织是不公平的,但是对于许多将API作为其IT系统和端点一部分的公司而言,这种特殊的API暴露中表现出的缺乏细微差别和安全控制调查并不是一个好兆头。
总的来说,我们还有很多工作要做,不仅要发现和修复 API 漏洞,还要将其理解为我们应该保护的攻击面的一部分。API 的可见性——以及它们的构建方式——是一个非常令人担忧的问题,也是安全最佳实践的一部分。即使是采用最严格安全措施的组织,也可能会发现自己被在公司安全控制之外发布和运行的 API 所抵消。询问 API 来自哪里,最终由谁维护(是第三方供应商吗?)比以往任何时候都更加重要他们的安全性有多严格?),以及它正在访问什么信息。
注入漏洞仍然是每个 CISO 的灵药。
API 安全可能看起来像是一个相当新的模块,可以包含在安全程序中,但它可能会被我们在普通的旧网络软件中看到的一些(非常)旧技巧所利用。
一个 最近披露了对 Accellion 的攻击 透露,连锁的SQL注入和操作系统命令执行攻击允许威胁行为者操纵API,提取大量敏感数据,包括社会安全号码。他们确定,攻击者必须对Accellion的FTA软件有广泛的了解才能进行抢劫,而这本来可以通过大量的逆向工程来实现。
由于漏洞发生在2020年12月和2021年1月,盗贼有足够的时间造成损失。2021 年 2 月的进一步发现发现了一个存储的 XSS 漏洞,取证分析发现,只有一个 API 端点未正确清理用户输入,使得在调用时注入参数成为可能 admin.pl 脚本。
该漏洞拥有3000多名客户,包括许多著名的教育机构,可能影响深远。不幸的是,这些漏洞是通过利用常见漏洞实现的,其中许多漏洞本可以由具有安全意识的开发人员在预生产阶段的代码级别上解决。正如我们一次又一次地看到的那样,只需要打开一个小窗口就能产生大问题。而且,以人为主导的网络防御文化需要成为解决一个非常人性化的问题的战略的一部分。
现在想测试你的 API 安全技能 Java Spring API, Kotlin Spring API, C# (.NET) Web API 还有更多?在我们的学习平台上尝试一些 API 挑战(通过下拉菜单查看所有语言:框架):
Índice
Director General, Presidente y Cofundador
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
