API NEWS | 谷歌云API安全的四大支柱
2023-03-03阅读:475
本周,我们带来的分享如下:
谷歌云API安全的四大支柱
使用 Cerbos,可以为API 添加访问权限
在入侵API时攻击可预测的GUID
谷歌云API安全的四大支柱
本周,在Google Cloud的一篇文章中,他们分享了API安全性的四大支柱。重点介绍了Google自己的Apigee平台的调查结果,及其2022年关于API安全见解和趋势报告。Apigee发现,API流量在2019年至2020年间增加了46%;2021年,超过一半的组织遇到了与API相关的安全威胁。
使用Cerbos,为你的API添加访问权限
实施不当的API授权会导致两类最突出的API安全漏洞:"API1:2019 — 失效的对象级别授权"和 "API5:2019 — 失效的功能级授权"。导致这两类漏洞出现最常见的原因是,后端权限控制实施不到位。在New Stack的指南中,作者讨论了使用标准授权框架的好处,确保使用统一的应用访问控制方式,可以提高自动化管理并增加API安全性。
作者还强调,授权框架的另一个优势是,开发人员可以专注于代码研发的功能实现,并依靠集中管理来确保使用了正确的应用访问策略。在文章中,作者重点介绍了Cerbos,这是使用基本Python Flask应用程序的开源授权框架之一。
在另一篇文章中,作者提供了一个有意思的思路,它讲述了如何根据时间窗口内的可预测性功能,预测使用GUID来攻击v1 GUID系统。Epp甚至提供了一个Python脚本来生成候选GUID,可以执行时间漂移计算,用以解释客户端和服务器之间的时间差异。
总结:
如果发现在端点中使用v1 GUID的目标API,且GUID作为其业务逻辑的一部分,那么就有机会对其进行pwn。
感谢 APIsecurity.io 提供相关内容
地址:北京市海淀区海淀大街38号银科大厦6层
Copyright © 2022 北京星阑科技有限公司. 京ICP备19053406号
提交成功