API Security

API Security

聚焦API安全最新资讯,分享API安全研究成果。

Recent Articles

API漏洞导致航空公司、热水浴缸和某交易网站被黑

重大安全漏洞影响了全球近一半的航空公司Noam Rotem 在 Amadeus 航班预订系统和El Al航空公司的API中发现了一个危险的漏洞组合: Amadeus API允许暴力枚举预订标识符,也称为乘客姓名记录 (PNR)。 El Al API 提供了任何 PNR 的个人和预订详细信息。 一旦攻击者知道 PNR 和乘客姓名,他们就可以登录并更改预订。 与安全侦探研究实验室合作的黑客和活动家 Noam Rotem 最近发现了一个影

破坏API Onboarding以及如何修复

即使是世界上最好的API也有漏斗。潜在用户只要注册,甚至可能完成该操作,就只能放弃该过程。在某些情况下,造成这种情况的原因是不可避免的。例如,该产品可能太贵了。 在其他情况下,在注册和积极使用API的过程之间会发生一些事情。检查人们在注册过程中的进展可能会帮助您确定这种下降的原因,但话又说回来,它可能不会。 在本文中,我们将探讨潜在用户在开始使用API之前可能放弃API的一些原因。我们还将研究如何减少API放弃的尝试和测试方法,以及一些

攻击者渗透API的3种方式

在评估 API 提供的攻击面时,不良行为者可能会找到多种方法来获取访问权限。但他们的努力通常遵循三种模式: 登录攻击对登录和身份验证系统的攻击是一个自然的起点,因为它们很难通过现有的API安全解决方案进行检测和阻止。不良行为者试图通过使用暴力破解和自动撞库攻击来找到访问与API关联的数字资源的”入路”。 通过探测登录环境(通常使用现成的软件映射,然后发布到GitHub上),攻击者可以轻松发起攻击以查找漏洞。如果获得访问权限,游戏就会开

Twitter修复了未经授权访问私信的错误

API中声明的OAuth作用域可能与你授予的实际作用域不匹配。 在将某些应用授权给 Twitter 时,一个影响权限对话框的错误会使直接消息暴露给第三方,而用户却不知道。需要 PIN 才能完成授权过程而不是基于 OAuth 令牌的过程的应用程序所表现出的缺陷;因此,一些权限(例如访问直接消息的权限)对Twitter用户仍然隐藏。Terence Eden发现了这个问题,并通过HackerOne漏洞赏金平台将其报告给Twitter。这一披露

API NEWS - 本周国际API最新资讯有哪些?

本周,我们带来的分享如下: 关于保护大型API生态系统的方法 如何从HTTP流量创建OpenAPI定义 “Frankenstein API”为何会使业务暴露在额外的风险中 为何API的持续增长给组织带来了安全方面的挑战 保护大型API生态系统本周,我们首先来看看Michał Trojanowski发表在TheNewStack上的一篇优秀文章,文章讨论了大型API生态系统所面临的安全挑战。Trojanowski认为,小规模API部署应

API泄露导致的黑客攻击

Leaky API免费向任何知道URL的人公开客户数据。你正在采取哪些措施来保护客户免受针API的黑客的攻击? “泄密”几乎从来都不是一件好事。在任何情况下,整个想法都是制造不会泄漏的东西,并堵住有泄漏的东西。网络安全也是如此,最近几起涉及API(应用程序编程接口)泄漏的事件就证明了这一点。 Hacked at Black Hat研究人员NinjaStyle在一篇博文中宣布,包括他在内的所有参加过拉斯维加斯黑帽大会的人的完整联系信息都以

微软服务和Chromecast黑客攻击

SafetyDetective的研究发现,微软有4亿用户暴露在外。Outlook、应用商店和其他服务允许通配符作为来自的有效URL。攻击者注意到了这一点,并设法在Azure中获取了该域。现在,攻击者可以构建登录URL,每当用户单击URL时,只要攻击者单击这些URL,攻击者就可以截获并使用这些令牌来访问Microsoft Outlook和Microsoft Store。 此外,又一个内网/开放端口黑客攻击,类似于打印机黑客攻击。这一次,攻

为什么成功的数字化转型需要集成和API?

数字化转型是许多高级企业高管的心头大事。他们意识到数字化转型不能再抽象地讨论;它必须是他们业务战略和目标的一部分。 根据研究公司Gartner的数据,大多数首席执行官都了解数字业务的重要性,一半的受访者希望看到他们所在行业的数字化转型。物联网(IoT)、区块链和自主交通的兴起都在他们的反应中发挥了作用。 更直接地说,移动和全渠道是领先于竞争对手的必要功能。企业越来越需要通过独特的体验来取悦消费者,并为员工和合作伙伴提供对有用数据的即时访

API NEWS-要加强对API安全的重视

本周,我们带来的分享如下: BlackHat欧洲会议披露了AWS API网关的一个漏洞,该漏洞允许潜在的缓存投毒攻击 Kubernetes API访问强化指南 《福布斯》发布一份报告:《加强对API安全的重视》 关于API安全性如何阻碍应用程序交付 AWS API网关易受HTTP请求走私攻击在最近的BlackHat欧洲安全会议上,网络安全研究员Daniel Thatcher披露了允许HTTP走私的AWS API网关的相关漏洞。目前,

构建成功API策略的六个技巧

在加速创新,超越竞争对手,甚至在大流行危机中生存下来的需求的推动下,许多组织目前正在计划或进行数字化转型。为了成功实现这些转型,组织需要利用 API 来有效地连接其所有系统、数据、应用程序和设备。如果没有可靠的API 策略,组织将难以开发、交付和管理其不断增长的 API 数量和种类。将API 管理平台落实到位只是该策略的一个组成部分,但它并不能解决整个问题。 如何制定全面的API策略? 1. 为 API 构建业务案例API影响的不仅仅是