API NEWS | Money Lover爆出潜在API漏洞

欢迎大家围观小阑精心整理的API安全最新资讯，在这里你能看到最专业、最前沿的API安全技术和产业资讯，我们提供关于全球API安全资讯与信息安全深度观察。

本周，我们带来的分享如下：

• Money Lover爆出潜在API漏洞
• 丰田管理运营平台的API漏洞
• 一篇关于标准测试遗漏的API缺陷文章
• Twitter宣布实施API付费，解决机器人滥用问题

Money Lover爆出潜在API漏洞

Dark Reading对越南Finsify开发的“Money Lover”应用程序中存在API潜在漏洞。Money Lover是一款管理个人财务的工具应用程序。它可以帮助用户记录和跟踪他们的支出、收入、预算、账单和债务等方面的情况。通过这个应用程序，用户可以更好地了解自己的财务状况，掌握自己的收支流水，制定更明智的理财计划。此外，Money Lover还提供了多种功能，如数据同步、报表分析、提醒通知等，使用户的财务管理更加方便和高效。

这个漏洞是由Trustwave研究员Troy Driver发现的，他在通过代理服务器路由流量时，发现了Money Lover的安全性问题。每个共享钱包的电子邮件地址、钱包名称和实时交易数据对他来说是可见的。研究人员没有透露发现的漏洞的确切细节，但说明这漏洞具有访问控制中断的所有特征，无论是对象级授权中断还是用户身份验证中断。

对象级授权中断漏洞指的是攻击者可以通过绕过应用程序中的授权检查，对未经授权的资源进行访问、修改或删除等操作。在Money Lover应用中，如果存在该漏洞，攻击者可能会利用此漏洞获取到其他用户的敏感信息，如账户余额、交易记录等，并且还可能篡改或删除用户的数据，导致用户的账户受损或者财务数据被泄露。

为了防范对象级授权中断漏洞，需要采取一些安全措施，例如：

• 对所有敏感资源进行访问控制，只允许经过授权的用户或角色进行访问和操作。
• 对关键业务逻辑进行审计和监控，及时发现并阻止未经授权的访问或操作。
• 对应用程序进行频繁的安全测试和漏洞扫描，发现并修复问题。
• 在开发过程中遵守安全最佳实践，如输入验证、输出编码、密码安全、错误处理等。

丰田管理运营平台的API漏洞

最近，安全研究员伊顿·兹韦尔（Eaton Zveare）发现了丰田公司管理运营的系统存在安全漏洞，可以让攻击者不受到监测地访问丰田内部的文件和用户账户。

这个问题涉及到超过14,000名用户和机密信息，如果攻击者利用漏洞加上他们自己的账户，就可以长期地获取丰田的数据，影响公司的全球运营。

幸运的是，丰田很快就修复了这个漏洞，成功地保护了公司和客户的信息安全。

Zveare声称，他能够利用安全性较差的应用程序编程接口（API）来闯入丰田GSPIMS系统，并可以完全访问丰田内部项目，文档和用户帐户，包括丰田外部合作伙伴/供应商的用户帐户。

该管理运营平台的API漏洞风险点，在于攻击者可以利用安全性较差的API接口入侵系统，完全访问丰田内部的项目、文档和用户账户，包括供应商和外部合作伙伴的账户，甚至能够访问机密文件和项目。攻击者可以添加自己的账户，并在不被发现的情况下永久访问丰田的数据，影响公司全球运营，带来严重的财务和声誉损失。

对于这种API漏洞，小阑建议可以采取以下防护措施：

• 加强API接口的安全性设计，对输入输出进行限制和过滤，防止恶意攻击行为；
• 建立严格的用户权限控制机制，只授权给有必要访问的人员，并对其进行监控和审计；
• 对关键数据进行加密和脱敏处理，防止泄密和信息泄露；
• 建立全面的安全事件应急预案和响应机制，确保在出现安全问题时能够及时安排应对措施，减少损失和影响。

关于标准测试遗漏的API缺陷

最近，《The Daily Swig》采访了Corey Ball，他分享了对2023年API安全性的看法。核心结论是，保护API安全需要一种不同于Web应用程序安全的方法。虽然Web应用程序安全工具对于防止基本漏洞缺陷（如SQL注入）仍然有用，但是它们无法全面了解API实现的上下文，从而无法检测某些类别的API漏洞。因此，我们需要针对API设计和实施专门的安全方法，才能更好地保障API的安全性。

Ball提到，随着API的广泛使用，它们越来越成为攻击者的主要攻击目标。网络上常见的API安全错误在数量上急剧增加，其中包括失效的对象级授权和缺失功能级授权等问题，这些授权错误使得攻击者可以未经授权地访问其他用户的数据。Ball表示：“由于API授权漏洞普遍存在，我们过于信任有效用户，并没有充分的测试来确保用户不能更改彼此的数据。” 因此，企业需要采取措施来防止这种情况发生，包括实施严格的API授权访问控制和进行充分的安全测试，才能确保API的安全性。

其实，在现实项目中，标准测试往往无法完全检测出所有API缺陷，除了文章中提到的问题，还有一些可能被遗漏的API缺陷：

• 认证问题：标准测试可能无法检测出API认证方案中存在的弱点或者未被发现的漏洞。
• 授权问题：由于授权问题通常涉及低频率事件或者特定场景，标准测试可能无法覆盖所有的授权场景并检测授权中的漏洞。
• 配置问题：API配置错误可能导致安全性问题。例如，未正确设置SSL/TLS证书、使用默认凭据等。这种问题不会在标准测试中得到充分检测。
• 数据保护问题：在API设计和实现阶段对数据保护进行不足的考虑可能导致安全问题。例如敏感数据的传输时没有加密保护。
• 持久性问题：标准测试可能无法完全检测出与API持久性相关的安全问题，例如应用程序逻辑错误、数据库注入、 文件系统攻击等。
• 安全日志记录问题：标准测试有可能无法检测出API安全日志记录的问题，如安全日志记录缺失或日志记录不足，这可能导致对安全事件的响应和恢复困难。

文章阐述的API漏洞主要是失效的对象级授权，让攻击者可以利用失效的对象级别授权的API端点，通过操纵在请求中发送的对象访问未经授权的敏感数据。这个问题在基于API的应用程序中极为常见，因为服务器组件通常不完全跟踪客户端的状态，而是更多地依赖于从客户端发送的对象ID等参数来决定对象的访问。

面对文章中所说的API漏洞问题，小阑建议：

• 实施依赖于用户策略和层次结构的适当的授权策略。
• 使用授权机制检查登录用户是否有权访问通过URL指定的资源。
• 使用随机或者不可预测的值作为记录ID，如GUID。
• 编写测试用例来评估授权机制的漏洞，不要发布测试失败的变更。

Twitter宣布实施API付费 解决机器人滥用问题

本周，简单介绍Twitter在打击滥用其API的机器人帐户方面的进展。报道谈到了Twitter在打击机器人造假帐号问题上的进展，这是Twitter面临的一个很大的问题。机器人可以被网络犯罪分子利用来传播垃圾邮件和恶意链接，同时也会影响公众舆论的形成。

Twitter团队宣布，他们将不再提供免费的API访问，有些人认为这是因为Twitter想借此手段赚更多的广告收入。一些人持怀疑态度，认为社交媒体网站可以采取更好的策略和工具来打击这种僵尸网络，例如：识别可疑帐户、使用专业工具、将帐户与现实世界的个人和组织联系起来等等。

恶意机器人滥用是一种利用API接口实现的攻击手段。攻击者可以编写特定的程序，利用API接口不断生成、发布大量自动化的虚假信息、垃圾邮件和恶意链接，从而诱骗用户点击、下载恶意软件或输入个人敏感信息，导致用户受到欺骗和侵害。

这种机器人的滥用会带来许多严重的后果，例如破坏公共秩序，诱发社会事件，影响公众舆论，甚至可能泄露用户个人隐私等。另外，由于恶意机器人是自动化的，因此攻击者可以轻松地制造大规模的攻击，这对网络安全形成了极大的威胁。

为了防范恶意机器人滥用，小阑建议可以采取以下措施：

• 加强API访问控制，增加用户认证和授权机制；
• 开发自动监控机制，及时检测和封禁异常行为；
• 使用机器学习和人工智能等技术，识别并过滤恶意机器人产生的信息；
• 鼓励用户提高安全意识，不轻易点击或下载未知来源的内容。

感谢 http://APIsecurity.io 提供相关内容