Undichte APIs drohen, den Ruf von Unternehmen ins Meer zu spülen
Im Leben ist Kommunikation im Allgemeinen eine großartige Sache. Es gibt keinen schnelleren Weg, um zu einem Verständnis zu kommen, etwas Neues zu lernen oder eine Beziehung aufzubauen. In der Softwarebranche dienen APIs einem kommunikativen Zweck, der es Anwendungen ermöglicht, miteinander zu kommunizieren und so Funktionen und Benutzerfreundlichkeit zu verbessern. Diese Konnektivität führt oft zu einem reichhaltigeren Erlebnis, das die Endbenutzer lieben und zunehmend von der Software in ihrem täglichen Leben erwarten.
Doch wie im richtigen Leben ist es ein großes Problem, wenn sie zu viel reden. Experian hat dies vor kurzem auf die harte Tour erfahren, als eine ihrer APIs - die von einem Drittpartner verwendet wird - potenziell die Kreditwürdigkeit von... nun ja, so ziemlich jedem amerikanischen Bürger preisgab.
Das Problem wurde schnell gepatcht, aber es bleibt die Frage, ob diese Sicherheitslücke wirklich gestoppt wurde. Wenn ein Anbieter betroffen war, stehen die Chancen gut, dass auch andere betroffen waren, und es besteht die Möglichkeit, dass es sich um einen systemischen Fehler handelt, der jeden betrifft, der diese unsichere API verwendet.
API-Sicherheit ist ein Thema, das den meisten Sicherheitsexperten nicht aus dem Kopf geht, und es ist etwas, für das wir uns mit dem Wissen ausstatten müssen, um es zu bekämpfen.
Jeder verwegene Geek kann die schlechte API-Authentifizierung umgehen
Ein Merkmal vieler Datenlecks, Sicherheitsverletzungen und Sicherheitsvorfälle ist, dass sie selten von einem Superhirn ausgeführt werden. Komplexe, heimtückische und schädliche Angriffe, wie wir sie bei SolarWinds gesehen haben, erfordern Teams von cyberkriminellen Genies, um sie auszuführen, und sie sind eher die Ausnahme als die Regel.
Wenn eine API mit schwacher Authentifizierung gebaut wird, ist es ziemlich einfach für sie, ausgenutzt zu werden. Bill Demirkapi, der Sicherheitsforscher, der Experians API-Bug entdeckte, stellte fest, dass auf diese ohne jegliche Authentifizierung zugegriffen werden konnte. Durch die Eingabe von 00/00/0000 in das Feld für das Geburtsdatum konnte er auf die Kreditwürdigkeit einer Person zugreifen, indem er nur öffentlich zugängliche Informationen wie den Namen und die dazugehörige Postanschrift verwendete. Dies wurde zwar nicht gemeldet, aber das Potenzial, dass diese Datensätze als kreditbezogener Datendump abgegriffen und kontextualisiert werden (und somit wertvoll sind), ist sicherlich vorhanden.
Saubere und funktionale Authentifizierungsprozesse sollten vorhanden sein, egal wie klein der Anwendungsfall ist; eine Chatterbox-API, die nicht ordnungsgemäß abgesichert ist und potenziell den Zugriff auf mehrere Systeme ermöglicht, ist eine Gefahr.
Broken Authentication ist die Nummer zwei auf der OWASP Top 10 API-Schwachstellenliste. Lesen Sie hier mehr darüber, wie Sie diesen Fehler vermeiden können, und testen Sie Ihre Fähigkeiten auf unserer Plattform, sobald Sie Ihr Gehirn gefüttert haben.
Schlechte API-Sicherheitskontrollen sind ein weit verbreitetes Problem, das einen kulturellen Wandel erfordert
Es ist nicht fair, mit dem Finger nur auf Unternehmen wie Experian zu zeigen, aber der Mangel an Nuancen und Sorgfalt bei der Sicherheitskontrolle, der in dieser speziellen API-Enthüllung gezeigt wurde, lässt nichts Gutes für die vielen Unternehmen da draußen erahnen, die APIs als Teil ihrer IT-Systeme und Endpunkte nutzen.
Generell müssen wir noch viel mehr tun, um API-Schwachstellen nicht nur zu finden und zu beheben, sondern sie als Teil der Angriffsfläche zu verstehen, die wir schützen sollen. Die Sichtbarkeit von APIs - und wie sie erstellt wurden - ist ein großes Anliegen und sollte als Teil der Best Practices für Sicherheit gefordert werden. Selbst ein Unternehmen mit den strengsten Sicherheitsmaßnahmen kann durch eine API, die veröffentlicht wird und außerhalb der Sicherheitskontrollen des Unternehmens arbeitet, in Gefahr geraten. Es ist wichtiger denn je, sich zu fragen, woher eine API kommt, wer sie letztendlich verwaltet (ist es ein Drittanbieter? Wie streng sind seine Sicherheitsmaßnahmen?) und auf welche Informationen sie zugreift.
Injection-Schwachstellen bleiben für jeden CISO ein Dorn im Auge.
API-Sicherheit scheint ein relativ neues Modul zu sein, das in ein Sicherheitsprogramm aufgenommen werden sollte, aber es kann mit einigen (sehr) alten Tricks ausgenutzt werden, die wir von gewöhnlicher Web-Software kennen.
Ein kürzlich bekannt gewordener Angriff auf Accellion zeigte, dass verkettete SQL-Injection- und OS-Befehlsausführungs-Angriffe es den Bedrohungsakteuren ermöglichten, APIs zu manipulieren und eine beträchtliche Menge sensibler Daten zu extrahieren, einschließlich Sozialversicherungsnummern. Es wurde festgestellt, dass die Angreifer umfangreiche Kenntnisse über die FTA-Software von Accellion haben mussten, um den Raub durchzuführen, was durch umfangreiches Reverse Engineering möglich gewesen wäre.
Da der Einbruch im Dezember 2020 und Januar 2021 stattfand, hatten die Diebe genügend Zeit, um Schaden anzurichten. Weitere Entdeckungen im Februar 2021 deckten eine gespeicherte XSS-Schwachstelle auf, wobei die forensische Analyse ergab, dass nur ein API-Endpunkt mit nicht ordnungsgemäß bereinigten Benutzereingaben es ermöglichte, ein Argument beim Aufruf des Skripts admin.pl zu injizieren.
Bei über 3000 Kunden, darunter viele renommierte Bildungseinrichtungen, könnte dieser Verstoß weitreichende Folgen haben. Leider wurden diese Angriffe durch die Ausnutzung allgemeiner Schwachstellen ermöglicht, von denen viele von sicherheitsbewussten Entwicklern bereits auf Code-Ebene und vor der Produktion hätten behoben werden können. Wie wir immer wieder sehen, braucht es nur ein kleines offen gelassenes Fenster, um große Probleme zu verursachen. Und eine Kultur der von Menschen geführten Cyber-Verteidigung muss Teil der Strategie sein, um ein sehr menschliches Problem zu lösen.
Möchten Sie jetzt Ihre API-Sicherheitskenntnisse testen in Java Spring API, Kotlin Spring API, C# (.NET) Web API und mehr? Probieren Sie einige API-Herausforderungen auf unserer Learning Platform aus (prüfen Sie alle Sprachen:Frameworks über das Dropdown):
API-Sicherheit ist ein Thema, das den meisten Sicherheitsexperten nicht aus dem Kopf geht, und es ist etwas, für das wir uns mit dem Wissen ausstatten müssen, um es zu bekämpfen.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Im Leben ist Kommunikation im Allgemeinen eine großartige Sache. Es gibt keinen schnelleren Weg, um zu einem Verständnis zu kommen, etwas Neues zu lernen oder eine Beziehung aufzubauen. In der Softwarebranche dienen APIs einem kommunikativen Zweck, der es Anwendungen ermöglicht, miteinander zu kommunizieren und so Funktionen und Benutzerfreundlichkeit zu verbessern. Diese Konnektivität führt oft zu einem reichhaltigeren Erlebnis, das die Endbenutzer lieben und zunehmend von der Software in ihrem täglichen Leben erwarten.
Doch wie im richtigen Leben ist es ein großes Problem, wenn sie zu viel reden. Experian hat dies vor kurzem auf die harte Tour erfahren, als eine ihrer APIs - die von einem Drittpartner verwendet wird - potenziell die Kreditwürdigkeit von... nun ja, so ziemlich jedem amerikanischen Bürger preisgab.
Das Problem wurde schnell gepatcht, aber es bleibt die Frage, ob diese Sicherheitslücke wirklich gestoppt wurde. Wenn ein Anbieter betroffen war, stehen die Chancen gut, dass auch andere betroffen waren, und es besteht die Möglichkeit, dass es sich um einen systemischen Fehler handelt, der jeden betrifft, der diese unsichere API verwendet.
API-Sicherheit ist ein Thema, das den meisten Sicherheitsexperten nicht aus dem Kopf geht, und es ist etwas, für das wir uns mit dem Wissen ausstatten müssen, um es zu bekämpfen.
Jeder verwegene Geek kann die schlechte API-Authentifizierung umgehen
Ein Merkmal vieler Datenlecks, Sicherheitsverletzungen und Sicherheitsvorfälle ist, dass sie selten von einem Superhirn ausgeführt werden. Komplexe, heimtückische und schädliche Angriffe, wie wir sie bei SolarWinds gesehen haben, erfordern Teams von cyberkriminellen Genies, um sie auszuführen, und sie sind eher die Ausnahme als die Regel.
Wenn eine API mit schwacher Authentifizierung gebaut wird, ist es ziemlich einfach für sie, ausgenutzt zu werden. Bill Demirkapi, der Sicherheitsforscher, der Experians API-Bug entdeckte, stellte fest, dass auf diese ohne jegliche Authentifizierung zugegriffen werden konnte. Durch die Eingabe von 00/00/0000 in das Feld für das Geburtsdatum konnte er auf die Kreditwürdigkeit einer Person zugreifen, indem er nur öffentlich zugängliche Informationen wie den Namen und die dazugehörige Postanschrift verwendete. Dies wurde zwar nicht gemeldet, aber das Potenzial, dass diese Datensätze als kreditbezogener Datendump abgegriffen und kontextualisiert werden (und somit wertvoll sind), ist sicherlich vorhanden.
Saubere und funktionale Authentifizierungsprozesse sollten vorhanden sein, egal wie klein der Anwendungsfall ist; eine Chatterbox-API, die nicht ordnungsgemäß abgesichert ist und potenziell den Zugriff auf mehrere Systeme ermöglicht, ist eine Gefahr.
Broken Authentication ist die Nummer zwei auf der OWASP Top 10 API-Schwachstellenliste. Lesen Sie hier mehr darüber, wie Sie diesen Fehler vermeiden können, und testen Sie Ihre Fähigkeiten auf unserer Plattform, sobald Sie Ihr Gehirn gefüttert haben.
Schlechte API-Sicherheitskontrollen sind ein weit verbreitetes Problem, das einen kulturellen Wandel erfordert
Es ist nicht fair, mit dem Finger nur auf Unternehmen wie Experian zu zeigen, aber der Mangel an Nuancen und Sorgfalt bei der Sicherheitskontrolle, der in dieser speziellen API-Enthüllung gezeigt wurde, lässt nichts Gutes für die vielen Unternehmen da draußen erahnen, die APIs als Teil ihrer IT-Systeme und Endpunkte nutzen.
Generell müssen wir noch viel mehr tun, um API-Schwachstellen nicht nur zu finden und zu beheben, sondern sie als Teil der Angriffsfläche zu verstehen, die wir schützen sollen. Die Sichtbarkeit von APIs - und wie sie erstellt wurden - ist ein großes Anliegen und sollte als Teil der Best Practices für Sicherheit gefordert werden. Selbst ein Unternehmen mit den strengsten Sicherheitsmaßnahmen kann durch eine API, die veröffentlicht wird und außerhalb der Sicherheitskontrollen des Unternehmens arbeitet, in Gefahr geraten. Es ist wichtiger denn je, sich zu fragen, woher eine API kommt, wer sie letztendlich verwaltet (ist es ein Drittanbieter? Wie streng sind seine Sicherheitsmaßnahmen?) und auf welche Informationen sie zugreift.
Injection-Schwachstellen bleiben für jeden CISO ein Dorn im Auge.
API-Sicherheit scheint ein relativ neues Modul zu sein, das in ein Sicherheitsprogramm aufgenommen werden sollte, aber es kann mit einigen (sehr) alten Tricks ausgenutzt werden, die wir von gewöhnlicher Web-Software kennen.
Ein kürzlich bekannt gewordener Angriff auf Accellion zeigte, dass verkettete SQL-Injection- und OS-Befehlsausführungs-Angriffe es den Bedrohungsakteuren ermöglichten, APIs zu manipulieren und eine beträchtliche Menge sensibler Daten zu extrahieren, einschließlich Sozialversicherungsnummern. Es wurde festgestellt, dass die Angreifer umfangreiche Kenntnisse über die FTA-Software von Accellion haben mussten, um den Raub durchzuführen, was durch umfangreiches Reverse Engineering möglich gewesen wäre.
Da der Einbruch im Dezember 2020 und Januar 2021 stattfand, hatten die Diebe genügend Zeit, um Schaden anzurichten. Weitere Entdeckungen im Februar 2021 deckten eine gespeicherte XSS-Schwachstelle auf, wobei die forensische Analyse ergab, dass nur ein API-Endpunkt mit nicht ordnungsgemäß bereinigten Benutzereingaben es ermöglichte, ein Argument beim Aufruf des Skripts admin.pl zu injizieren.
Bei über 3000 Kunden, darunter viele renommierte Bildungseinrichtungen, könnte dieser Verstoß weitreichende Folgen haben. Leider wurden diese Angriffe durch die Ausnutzung allgemeiner Schwachstellen ermöglicht, von denen viele von sicherheitsbewussten Entwicklern bereits auf Code-Ebene und vor der Produktion hätten behoben werden können. Wie wir immer wieder sehen, braucht es nur ein kleines offen gelassenes Fenster, um große Probleme zu verursachen. Und eine Kultur der von Menschen geführten Cyber-Verteidigung muss Teil der Strategie sein, um ein sehr menschliches Problem zu lösen.
Möchten Sie jetzt Ihre API-Sicherheitskenntnisse testen in Java Spring API, Kotlin Spring API, C# (.NET) Web API und mehr? Probieren Sie einige API-Herausforderungen auf unserer Learning Platform aus (prüfen Sie alle Sprachen:Frameworks über das Dropdown):
Im Leben ist Kommunikation im Allgemeinen eine großartige Sache. Es gibt keinen schnelleren Weg, um zu einem Verständnis zu kommen, etwas Neues zu lernen oder eine Beziehung aufzubauen. In der Softwarebranche dienen APIs einem kommunikativen Zweck, der es Anwendungen ermöglicht, miteinander zu kommunizieren und so Funktionen und Benutzerfreundlichkeit zu verbessern. Diese Konnektivität führt oft zu einem reichhaltigeren Erlebnis, das die Endbenutzer lieben und zunehmend von der Software in ihrem täglichen Leben erwarten.
Doch wie im richtigen Leben ist es ein großes Problem, wenn sie zu viel reden. Experian hat dies vor kurzem auf die harte Tour erfahren, als eine ihrer APIs - die von einem Drittpartner verwendet wird - potenziell die Kreditwürdigkeit von... nun ja, so ziemlich jedem amerikanischen Bürger preisgab.
Das Problem wurde schnell gepatcht, aber es bleibt die Frage, ob diese Sicherheitslücke wirklich gestoppt wurde. Wenn ein Anbieter betroffen war, stehen die Chancen gut, dass auch andere betroffen waren, und es besteht die Möglichkeit, dass es sich um einen systemischen Fehler handelt, der jeden betrifft, der diese unsichere API verwendet.
API-Sicherheit ist ein Thema, das den meisten Sicherheitsexperten nicht aus dem Kopf geht, und es ist etwas, für das wir uns mit dem Wissen ausstatten müssen, um es zu bekämpfen.
Jeder verwegene Geek kann die schlechte API-Authentifizierung umgehen
Ein Merkmal vieler Datenlecks, Sicherheitsverletzungen und Sicherheitsvorfälle ist, dass sie selten von einem Superhirn ausgeführt werden. Komplexe, heimtückische und schädliche Angriffe, wie wir sie bei SolarWinds gesehen haben, erfordern Teams von cyberkriminellen Genies, um sie auszuführen, und sie sind eher die Ausnahme als die Regel.
Wenn eine API mit schwacher Authentifizierung gebaut wird, ist es ziemlich einfach für sie, ausgenutzt zu werden. Bill Demirkapi, der Sicherheitsforscher, der Experians API-Bug entdeckte, stellte fest, dass auf diese ohne jegliche Authentifizierung zugegriffen werden konnte. Durch die Eingabe von 00/00/0000 in das Feld für das Geburtsdatum konnte er auf die Kreditwürdigkeit einer Person zugreifen, indem er nur öffentlich zugängliche Informationen wie den Namen und die dazugehörige Postanschrift verwendete. Dies wurde zwar nicht gemeldet, aber das Potenzial, dass diese Datensätze als kreditbezogener Datendump abgegriffen und kontextualisiert werden (und somit wertvoll sind), ist sicherlich vorhanden.
Saubere und funktionale Authentifizierungsprozesse sollten vorhanden sein, egal wie klein der Anwendungsfall ist; eine Chatterbox-API, die nicht ordnungsgemäß abgesichert ist und potenziell den Zugriff auf mehrere Systeme ermöglicht, ist eine Gefahr.
Broken Authentication ist die Nummer zwei auf der OWASP Top 10 API-Schwachstellenliste. Lesen Sie hier mehr darüber, wie Sie diesen Fehler vermeiden können, und testen Sie Ihre Fähigkeiten auf unserer Plattform, sobald Sie Ihr Gehirn gefüttert haben.
Schlechte API-Sicherheitskontrollen sind ein weit verbreitetes Problem, das einen kulturellen Wandel erfordert
Es ist nicht fair, mit dem Finger nur auf Unternehmen wie Experian zu zeigen, aber der Mangel an Nuancen und Sorgfalt bei der Sicherheitskontrolle, der in dieser speziellen API-Enthüllung gezeigt wurde, lässt nichts Gutes für die vielen Unternehmen da draußen erahnen, die APIs als Teil ihrer IT-Systeme und Endpunkte nutzen.
Generell müssen wir noch viel mehr tun, um API-Schwachstellen nicht nur zu finden und zu beheben, sondern sie als Teil der Angriffsfläche zu verstehen, die wir schützen sollen. Die Sichtbarkeit von APIs - und wie sie erstellt wurden - ist ein großes Anliegen und sollte als Teil der Best Practices für Sicherheit gefordert werden. Selbst ein Unternehmen mit den strengsten Sicherheitsmaßnahmen kann durch eine API, die veröffentlicht wird und außerhalb der Sicherheitskontrollen des Unternehmens arbeitet, in Gefahr geraten. Es ist wichtiger denn je, sich zu fragen, woher eine API kommt, wer sie letztendlich verwaltet (ist es ein Drittanbieter? Wie streng sind seine Sicherheitsmaßnahmen?) und auf welche Informationen sie zugreift.
Injection-Schwachstellen bleiben für jeden CISO ein Dorn im Auge.
API-Sicherheit scheint ein relativ neues Modul zu sein, das in ein Sicherheitsprogramm aufgenommen werden sollte, aber es kann mit einigen (sehr) alten Tricks ausgenutzt werden, die wir von gewöhnlicher Web-Software kennen.
Ein kürzlich bekannt gewordener Angriff auf Accellion zeigte, dass verkettete SQL-Injection- und OS-Befehlsausführungs-Angriffe es den Bedrohungsakteuren ermöglichten, APIs zu manipulieren und eine beträchtliche Menge sensibler Daten zu extrahieren, einschließlich Sozialversicherungsnummern. Es wurde festgestellt, dass die Angreifer umfangreiche Kenntnisse über die FTA-Software von Accellion haben mussten, um den Raub durchzuführen, was durch umfangreiches Reverse Engineering möglich gewesen wäre.
Da der Einbruch im Dezember 2020 und Januar 2021 stattfand, hatten die Diebe genügend Zeit, um Schaden anzurichten. Weitere Entdeckungen im Februar 2021 deckten eine gespeicherte XSS-Schwachstelle auf, wobei die forensische Analyse ergab, dass nur ein API-Endpunkt mit nicht ordnungsgemäß bereinigten Benutzereingaben es ermöglichte, ein Argument beim Aufruf des Skripts admin.pl zu injizieren.
Bei über 3000 Kunden, darunter viele renommierte Bildungseinrichtungen, könnte dieser Verstoß weitreichende Folgen haben. Leider wurden diese Angriffe durch die Ausnutzung allgemeiner Schwachstellen ermöglicht, von denen viele von sicherheitsbewussten Entwicklern bereits auf Code-Ebene und vor der Produktion hätten behoben werden können. Wie wir immer wieder sehen, braucht es nur ein kleines offen gelassenes Fenster, um große Probleme zu verursachen. Und eine Kultur der von Menschen geführten Cyber-Verteidigung muss Teil der Strategie sein, um ein sehr menschliches Problem zu lösen.
Möchten Sie jetzt Ihre API-Sicherheitskenntnisse testen in Java Spring API, Kotlin Spring API, C# (.NET) Web API und mehr? Probieren Sie einige API-Herausforderungen auf unserer Learning Platform aus (prüfen Sie alle Sprachen:Frameworks über das Dropdown):
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Im Leben ist Kommunikation im Allgemeinen eine großartige Sache. Es gibt keinen schnelleren Weg, um zu einem Verständnis zu kommen, etwas Neues zu lernen oder eine Beziehung aufzubauen. In der Softwarebranche dienen APIs einem kommunikativen Zweck, der es Anwendungen ermöglicht, miteinander zu kommunizieren und so Funktionen und Benutzerfreundlichkeit zu verbessern. Diese Konnektivität führt oft zu einem reichhaltigeren Erlebnis, das die Endbenutzer lieben und zunehmend von der Software in ihrem täglichen Leben erwarten.
Doch wie im richtigen Leben ist es ein großes Problem, wenn sie zu viel reden. Experian hat dies vor kurzem auf die harte Tour erfahren, als eine ihrer APIs - die von einem Drittpartner verwendet wird - potenziell die Kreditwürdigkeit von... nun ja, so ziemlich jedem amerikanischen Bürger preisgab.
Das Problem wurde schnell gepatcht, aber es bleibt die Frage, ob diese Sicherheitslücke wirklich gestoppt wurde. Wenn ein Anbieter betroffen war, stehen die Chancen gut, dass auch andere betroffen waren, und es besteht die Möglichkeit, dass es sich um einen systemischen Fehler handelt, der jeden betrifft, der diese unsichere API verwendet.
API-Sicherheit ist ein Thema, das den meisten Sicherheitsexperten nicht aus dem Kopf geht, und es ist etwas, für das wir uns mit dem Wissen ausstatten müssen, um es zu bekämpfen.
Jeder verwegene Geek kann die schlechte API-Authentifizierung umgehen
Ein Merkmal vieler Datenlecks, Sicherheitsverletzungen und Sicherheitsvorfälle ist, dass sie selten von einem Superhirn ausgeführt werden. Komplexe, heimtückische und schädliche Angriffe, wie wir sie bei SolarWinds gesehen haben, erfordern Teams von cyberkriminellen Genies, um sie auszuführen, und sie sind eher die Ausnahme als die Regel.
Wenn eine API mit schwacher Authentifizierung gebaut wird, ist es ziemlich einfach für sie, ausgenutzt zu werden. Bill Demirkapi, der Sicherheitsforscher, der Experians API-Bug entdeckte, stellte fest, dass auf diese ohne jegliche Authentifizierung zugegriffen werden konnte. Durch die Eingabe von 00/00/0000 in das Feld für das Geburtsdatum konnte er auf die Kreditwürdigkeit einer Person zugreifen, indem er nur öffentlich zugängliche Informationen wie den Namen und die dazugehörige Postanschrift verwendete. Dies wurde zwar nicht gemeldet, aber das Potenzial, dass diese Datensätze als kreditbezogener Datendump abgegriffen und kontextualisiert werden (und somit wertvoll sind), ist sicherlich vorhanden.
Saubere und funktionale Authentifizierungsprozesse sollten vorhanden sein, egal wie klein der Anwendungsfall ist; eine Chatterbox-API, die nicht ordnungsgemäß abgesichert ist und potenziell den Zugriff auf mehrere Systeme ermöglicht, ist eine Gefahr.
Broken Authentication ist die Nummer zwei auf der OWASP Top 10 API-Schwachstellenliste. Lesen Sie hier mehr darüber, wie Sie diesen Fehler vermeiden können, und testen Sie Ihre Fähigkeiten auf unserer Plattform, sobald Sie Ihr Gehirn gefüttert haben.
Schlechte API-Sicherheitskontrollen sind ein weit verbreitetes Problem, das einen kulturellen Wandel erfordert
Es ist nicht fair, mit dem Finger nur auf Unternehmen wie Experian zu zeigen, aber der Mangel an Nuancen und Sorgfalt bei der Sicherheitskontrolle, der in dieser speziellen API-Enthüllung gezeigt wurde, lässt nichts Gutes für die vielen Unternehmen da draußen erahnen, die APIs als Teil ihrer IT-Systeme und Endpunkte nutzen.
Generell müssen wir noch viel mehr tun, um API-Schwachstellen nicht nur zu finden und zu beheben, sondern sie als Teil der Angriffsfläche zu verstehen, die wir schützen sollen. Die Sichtbarkeit von APIs - und wie sie erstellt wurden - ist ein großes Anliegen und sollte als Teil der Best Practices für Sicherheit gefordert werden. Selbst ein Unternehmen mit den strengsten Sicherheitsmaßnahmen kann durch eine API, die veröffentlicht wird und außerhalb der Sicherheitskontrollen des Unternehmens arbeitet, in Gefahr geraten. Es ist wichtiger denn je, sich zu fragen, woher eine API kommt, wer sie letztendlich verwaltet (ist es ein Drittanbieter? Wie streng sind seine Sicherheitsmaßnahmen?) und auf welche Informationen sie zugreift.
Injection-Schwachstellen bleiben für jeden CISO ein Dorn im Auge.
API-Sicherheit scheint ein relativ neues Modul zu sein, das in ein Sicherheitsprogramm aufgenommen werden sollte, aber es kann mit einigen (sehr) alten Tricks ausgenutzt werden, die wir von gewöhnlicher Web-Software kennen.
Ein kürzlich bekannt gewordener Angriff auf Accellion zeigte, dass verkettete SQL-Injection- und OS-Befehlsausführungs-Angriffe es den Bedrohungsakteuren ermöglichten, APIs zu manipulieren und eine beträchtliche Menge sensibler Daten zu extrahieren, einschließlich Sozialversicherungsnummern. Es wurde festgestellt, dass die Angreifer umfangreiche Kenntnisse über die FTA-Software von Accellion haben mussten, um den Raub durchzuführen, was durch umfangreiches Reverse Engineering möglich gewesen wäre.
Da der Einbruch im Dezember 2020 und Januar 2021 stattfand, hatten die Diebe genügend Zeit, um Schaden anzurichten. Weitere Entdeckungen im Februar 2021 deckten eine gespeicherte XSS-Schwachstelle auf, wobei die forensische Analyse ergab, dass nur ein API-Endpunkt mit nicht ordnungsgemäß bereinigten Benutzereingaben es ermöglichte, ein Argument beim Aufruf des Skripts admin.pl zu injizieren.
Bei über 3000 Kunden, darunter viele renommierte Bildungseinrichtungen, könnte dieser Verstoß weitreichende Folgen haben. Leider wurden diese Angriffe durch die Ausnutzung allgemeiner Schwachstellen ermöglicht, von denen viele von sicherheitsbewussten Entwicklern bereits auf Code-Ebene und vor der Produktion hätten behoben werden können. Wie wir immer wieder sehen, braucht es nur ein kleines offen gelassenes Fenster, um große Probleme zu verursachen. Und eine Kultur der von Menschen geführten Cyber-Verteidigung muss Teil der Strategie sein, um ein sehr menschliches Problem zu lösen.
Möchten Sie jetzt Ihre API-Sicherheitskenntnisse testen in Java Spring API, Kotlin Spring API, C# (.NET) Web API und mehr? Probieren Sie einige API-Herausforderungen auf unserer Learning Platform aus (prüfen Sie alle Sprachen:Frameworks über das Dropdown):
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Die Leistungsfähigkeit von OpenText Fortify + Secure Code Warrior
OpenText Fortify und Secure Code Warrior bündeln ihre Kräfte, um Unternehmen dabei zu helfen, Risiken zu reduzieren, Entwickler zu Sicherheits-Champions zu machen und Kundenvertrauen aufzubauen. Lesen Sie hier mehr darüber.
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
Ressourcen für den Einstieg
10 wichtige Vorhersagen: Secure Code Warrior über den Einfluss von KI und Secure-by-Design im Jahr 2025
Unternehmen stehen vor schwierigen Entscheidungen über den Einsatz von KI, um die langfristige Produktivität, Nachhaltigkeit und den Sicherheits-ROI zu unterstützen. In den letzten Jahren ist uns klar geworden, dass KI die Rolle des Entwicklers niemals vollständig ersetzen wird. Von KI + Entwicklerpartnerschaften bis hin zum zunehmenden Druck (und der Verwirrung) rund um die Secure-by-Design-Erwartungen - lassen Sie uns einen genaueren Blick darauf werfen, was wir im nächsten Jahr erwarten können.
OWASP Top 10 für LLM-Bewerbungen: Was ist neu, was hat sich geändert, und wie bleibt man sicher?
Bleiben Sie bei der Absicherung von LLM-Anwendungen mit den neuesten OWASP Top 10 Updates immer einen Schritt voraus. Entdecken Sie, was neu ist, was sich geändert hat und wie Secure Code Warrior Sie mit aktuellen Lernressourcen ausstattet, um Risiken in der generativen KI zu minimieren.
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
.png)
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
