首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >API NEWS | Jetpack WordPress插件存在API漏洞

API NEWS | Jetpack WordPress插件存在API漏洞

原创
作者头像
小阑本阑
发布2023-09-06 15:07:22
1990
发布2023-09-06 15:07:22
举报
文章被收录于专栏:API安全API安全

欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。

本周,我们带来的分享如下:

  • 一篇关于Jetpack WordPress插件存在API漏洞的文章
  • 一篇关于如何应对不断增长的API安全漏洞的文章
  • 一篇关于API安全性是当务之急的文章
  • 工具:使用Burp Suite查找GraphQL漏洞

Jetpack WordPress插件API漏洞影响数百万个网站

流行的WordPress插件Jetpack强制对所有安装进行更新,以解决插件中的一个关键API漏洞。该插件在WordPress用户中非常受欢迎,全球下载量超过500万次。自2012年首次发布2.0版以来,所有版本都存在这个漏洞。

1693983396_64f822a451e7ae0f105d0.png!small?1693983396718
1693983396_64f822a451e7ae0f105d0.png!small?1693983396718

Jetpack的官方公告中对这个漏洞的性质提供的细节很少,只是指出它影响到一个API,并可能允许对受影响主机的文件系统进行访问。文章列出了所有受影响的版本,但坚称目前没有已知的对该漏洞的利用。

用户被要求确保他们正在使用最新的插件版本,即Jetpack 12.1.1。

小阑总结:

  • 这个漏洞对于受影响的WordPress站点来说是非常危险的,因为它可能允许攻击者利用API漏洞,从而访问站点上的文件系统。如果攻击成功,攻击者可以读取、修改或删除站点上的数据。这可能导致站点崩溃、数据泄露或损坏,对站点和其用户造成极大的损失。
  • 为了预防这个漏洞,所有使用Jetpack插件的WordPress站点都应该尽快更新到最新版本Jetpack 12.1.1。此外,站点管理员还应该遵循良好的安全实践,如安装安全插件,设置强密码和多因素身份验证,以及定期备份站点数据以应对意外情况。此外,站点管理员还应该保持警惕,避免打开或下载来自未知来源的文件和链接,以减少站点遭受攻击的风险。

创新保护:2023年应对API安全漏洞的前沿策略

在本周讨论API安全挑战的两篇文章中的第一篇中,介绍了Katrina Thompson的想法。作者强调了API在构建当今数字基础设施方面的重要性。不幸的是,这增加了攻击者的风险,他们意识到API在攻击组织时代表了“最佳点”。根据这篇文章,最近的一项研究表明,97%的企业领导者将API的使用归类为对未来增长至关重要,另一项研究表明,使用API的平均数量比去年增长了82%。

1693983410_64f822b2bb5c84a3bd090.png!small?1693983411127
1693983410_64f822b2bb5c84a3bd090.png!small?1693983411127

笔者指出了五种类型的API安全漏洞,并提出了处理方法,具体如下:

  • 过于宽松的API:API经常可以访问比它们应该访问的更多的数据,并且通常以比它们应该更高的权限执行。API应被授予执行其业务目标所需的最低权限。
  • 代码中的错误:正如读者所知,许多API漏洞是由于代码库中的缺陷造成的,导致BOLA、BFLA和身份验证中断等漏洞。始终确保扫描API代码库以查找漏洞,并在任何重大更改时手动审查。
  • 速度超过安全:与API代码中的错误主题相结合的是偏爱速度而不是安全性的主题。在许多情况下,业务需求往往占主导地位,API团队在充分验证安全性之前发布API。这会导致生产中代价高昂的中断,包括昂贵的修补程序和返工。在开发的早期阶段解决安全问题要有效得多。
  • 公开和隐藏的API:时事通讯的读者熟悉影子和僵尸API给安全团队带来的问题。如果您不知道自己拥有和操作的API,则无法保护。
  • 每个API都是唯一的:确保您了解保护每个 API 的特定需求,因为它们可能具有非常不同的特征和安全要求。

小阑解读:

要避免API漏洞并提高防范措施:

  • 及时更新API:确保你使用的所有插件、库和框架的API都是最新版本。
  • 实施授权和访问控制:限制API的访问仅限于经过授权和验证的用户或应用程序,使用令牌、密钥或其他访问控制机制,确保只有合法用户才能使用API。
  • 输入验证和过滤:在处理API请求时,对输入数据进行严格的验证和过滤,确保输入数据符合预期格式和类型,以防止恶意数据注入或其他安全威胁。
  • 强化身份验证:为API访问实施强大的身份验证机制,如多因素身份验证、OAuth等,防止未经授权的访问和恶意活动。
  • 监控和日志记录:实时监控API的使用情况,并记录重要操作和事件,这样可以快速检测异常行为并采取适当的响应措施。
  • 安全审计和代码审查:进行定期的安全审计和代码审查,检查潜在的漏洞和安全隐患;修复发现的问题,并确保API的代码质量和安全性。
  • 安全培训和意识:提供安全培训,教育开发人员、管理员和用户有关API安全最佳实践和常见攻击方式,增强安全意识,及时识别和应对安全威胁。

当前最紧迫的任务:确保API的安全性

这一篇文章将介绍印度CIO.com和Indiatimes.com上多位安全专家的见解。

1693983423_64f822bfeec3dfe7a2288.png!small?1693983424895
1693983423_64f822bfeec3dfe7a2288.png!small?1693983424895

全球信息安全和网络安全主管Nikhil Chawla认为,人员和威胁给API安全带来了许多挑战。在许多情况下,开发人员没有充分意识到对API可能带来的威胁,忽视了重要的主题,如速率限制、DDoS攻击和跨站脚本攻击。通过更好地理解这些问题,他们可以在保护API方面取得更大成功。

CSB银行有限公司首席信息安全官巴比塔·B·P重点关注API可见性这一重要话题。在大规模确保API安全方面,关键是确保以自动化方式监控API,并尽量减少对手动发现和审计API的依赖。

Radware云安全服务销售总监Navneet Daga总结道,提高API安全性需要安全和开发团队之间加强协作,API安全性不是一个单点解决方案,而是需要分层策略进行深度防御。

小阑建议:

API在现代应用程序中起着关键作用,其安全性的重要性不容忽视:

  • 数据保护:API作为不同应用程序之间的桥梁,承载着大量敏感数据的传输和交换。确保API的安全性可以预防数据泄露、篡改或未经授权的访问,保护用户和组织的重要信息。
  • 业务连续性:许多企业和组织依赖于API来提供核心服务和功能,如果API存在漏洞或受到攻击,可能导致系统崩溃、服务中断或无法正常运行,对业务造成严重影响。
  • 用户隐私保护:API通常需要与用户进行交互,涉及到用户个人信息的处理和存储,确保API的安全性可以防止用户隐私泄露和滥用,增强用户对产品和服务的信任感。
  • 防止恶意攻击:恶意攻击者常常利用API的弱点进行攻击,例如通过API暴力破解密码、注入恶意代码或发起拒绝服务攻击;加强API安全性可以减少潜在的攻击面,提高系统的抵御能力。
  • 合规要求:许多行业和法规对数据的安全性和隐私保护有严格的要求,例如金融、医疗和个人信息管理领域,保持API的安全性是满足合规要求的重要一步。

使用Burp Suite查找GraphQL漏洞

Port Swigger提供了一个关于使用他们的Burp Suite工具来识别GraphQL漏洞。

1693983438_64f822ce11c959cc25237.png!small?1693983438501
1693983438_64f822ce11c959cc25237.png!small?1693983438501

利用 GraphQL API 的第一步是发现端点。这可以使用Burp Suite手动完成,也可以通过将通用查询发送到常见的GrahpQL API端点来完成,如下所示:

/graphql

/api

/api/graphql

/graphql/api

/graphql/graphql

确定终结点后,可以确定终结点支持的不同请求方法,包括支持的数据类型。

下一步是识别未经净化的参数,并发现通过这些参数注入恶意内容的不同方法。通过发现架构信息,可以深入了解 API 的结构,并允许攻击者深入了解如何进一步攻击 API。Burp Suite还提供了一个扩展,可以自动执行大部分发现过程,这是流行的扩展。

InQL是一个Burp Suite扩展,可帮助您安全地审核GraphQL API。它发出一个内省查询,请求给定 URL 的所有查询和突变(通过指向实时终结点的链接或通过 JSON 文件),并提供结构化视图以帮助您浏览结果。

从安全角度来看,文章最后提出了一些保护GraphQL API 的有用建议:

  • 在API终端节点上禁用侦测,除非有明确且易于理解的理由来启用它,这可以防止攻击者了解终结点的工作原理。
  • 查看API的架构,确保它不会向公众公开意外字段。
  • 确保禁用建议,以防止攻击者使用工具收集有关基础架构的信息。
  • 确保您的API架构不会公开私有用户字段,例如PII等信息。

感谢 APIsecurity.io 提供相关内容

关于星阑

星阑科技基于大数据分析及AI智能化技术体系,助力企业应对数字世界的安全风险。凭借持续创新的安全理念和效果导向的攻防能力,星阑科技发展成为国内数据智能、信息安全领域的双料科技公司。为解决流动数据安全问题,星阑科技从数据攻防、数据分析、数据治理等不同场景出发,提供全景化数据流转监测、应用数据分析、API安全治理、高级威胁检测等解决方案,构建全链路流动数据保护体系。

星阑科技核心产品——萤火流动数据分析平台,可针对用户异构、多模态数据提供风险监测、合规性管理、数据建模、用户追踪、行为关联、AI解释与推理等一体化数据分析能力,为企业的数据可观测性、数据合规、威胁监测、应用治理、业务洞察等场景提供全面支持。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • Jetpack WordPress插件API漏洞影响数百万个网站
  • 创新保护:2023年应对API安全漏洞的前沿策略
  • 当前最紧迫的任务:确保API的安全性
  • 使用Burp Suite查找GraphQL漏洞
相关产品与服务
云 API
云 API 是腾讯云开放生态的基石。通过云 API,只需少量的代码即可快速操作云产品;在熟练的情况下,使用云 API 完成一些频繁调用的功能可以极大提高效率;除此之外,通过 API 可以组合功能,实现更高级的功能,易于自动化, 易于远程调用, 兼容性强,对系统要求低。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档