新闻动态

API NEWS | 关于​Urlscan.io网站泄露敏感URL和数据

2022-11-11阅读:317

欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。

欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。

本周,我们带来的分享如下:

  • Urlscan.io泄露敏感URL和数据

  • Dropbox网络钓鱼攻击泄露了130个代码存储库

  • 微服务合同测试


Urlscan.io泄露敏感URL和数据

PortSwigger关于Urlscan.io网站最近漏洞的报告,该漏洞无意中泄露了URL和其他敏感数据,包括电子邮件。Urlscan.io是业内流行的工具,用于在网站上进行自动扫描,以评估它们是否包含恶意内容。Urlscan.io服务提供了一个API,允许用户自动扫描网站,作为防御策略的一部分,例如,在所有传入的电子邮件上。


今年GitHub发出了警报,发现某些GitHub Pages URL被意外泄露。上周,Positive Security发表了一篇详细的博客,讲述了他们如何判断敏感信息被泄露。最令人担忧的是大量泄露的敏感信息,包括密码重置链接、会议邀请、设置页面、DocuSign请求、软件包跟踪链接......这可能得益于Urlscan.io上的搜索功能,该功能允许对手使用“Google dorks”搜索常见链接——例如,此查询显示了URL中大量潜在API密钥列表。


根本原因是Urlscan.io提供的API SDK中配置错误的API调用(他们在术语中调用这些包)。在调用Urlscan.io API时,调用客户端指定要扫描的URL和其他一些参数,包括Urlscan.io平台上扫描结果的可见性——不幸的是,似乎选择了public作为默认值。虽然严格来说,这不是API中的漏洞,但这肯定说明了明智和安全默认值的重要性。


不幸的是,删除敏感URL是一个手动过程,必须与Urlscan.io支持团队一起启动——许多大公司,如苹果,已经删除了他们的URL。


Dropbox网络钓鱼攻击泄露了130个代码存储库


据报道,本周的第二个漏洞是,在一次明显的网络钓鱼攻击中复制了属于Dropbox的130个私有GitHub存储库。登记册提供了他们对漏洞的惯常分析,这导致许多秘密API令牌泄露,并需要轮换事件中访问的所有开发人员API凭据。


该漏洞遵循了一种相当熟悉的模式,即通过第三方连接服务攻击网站。据报道,Dropbox使用流行的CI/CD平台CircleCI进行内部构建,该平台与他们的私有GitHub代码存储库集成。在这种情况下,攻击者向Dropbox开发人员发送网络钓鱼电子邮件,这诱骗他们访问一个伪造的CircleCI登录页面,在那里他们输入了他们的凭据(包括OTP)。使用泄露的凭据,攻击者可以访问连接的GitHub组织,包括访问私有存储库。


Dropbox忘记了这项活动,直到GitHub的安全监控团队提醒他们存储库上的可疑活动后,漏洞才被曝光。事实上,GitHub最近才发布了关于使用CircleCI作为诱饵的这次攻击的安全警告。

显然,Dropbox在其安全流程中不那么出色——不幸的是,无论提供多少意识培训,网络钓鱼都是不可避免的;然而,人们预计这些虚假的CircleCI URL很容易在电子邮件过滤器中被检测到。更严重的问题是将API令牌存储在代码存储库中;至少在这种情况下,有一个协议可以撤销令牌。请记住,在连接第三方服务时,始终使用范围和生命周期限制在最低限度的令牌。


微服务合同测试


本周,TechTarget发表了一篇关于微服务合同测试重要性的文章,对于任何采用API设计第一方法的人来说,这值得一读。


作者强调了集成商和测试团队在构建大规模基于微服务的系统时面临的一些共同挑战,例如: 

• 太多的集成无法测试:随着微服务的持续增长(由API启用),测试单个微服务变得越来越困难,测试人员开始依赖于测试端到端系统,因此很难识别故障点。 

• 不匹配的微服务版本:由于微服务更新更频繁,管理其版本变得困难,这意味着经常针对较新版本的API运行测试,这可能会导致脆弱的系统。 

• 缺乏明确的测试要求:除非测试人员对服务的预期行为非常清楚,否则很难确定通过或失败的条件。 

合同测试有几个关键优势: 

• 规模:个人服务可以在开发点进行本地测试,而无需等待完整的端到端部署。 

• 可管理的测试:如果只有两个微服务发生变化,则没有必要测试整个系统;相反,受影响的服务可以根据其合同进行隔离测试。 

• 范围:合同准确定义了预期行为,消除了测试人员脑海中对测试范围的疑虑。 

感谢 APIsecurity.io 提供相关内容

下载中心

姓名

电话

邮箱

职位

所属行业

所在公司

提交成功