Undichte APIs drohen, den Ruf von Unternehmen ins Meer zu spülen
Im Leben ist Kommunikation im Allgemeinen eine großartige Sache. Es gibt keinen schnelleren Weg, um zu einem Verständnis zu kommen, etwas Neues zu lernen oder eine Beziehung aufzubauen. In der Softwarebranche dienen APIs einem kommunikativen Zweck, der es Anwendungen ermöglicht, miteinander zu kommunizieren und so Funktionen und Benutzerfreundlichkeit zu verbessern. Diese Konnektivität führt oft zu einem reichhaltigeren Erlebnis, das die Endbenutzer lieben und zunehmend von der Software in ihrem täglichen Leben erwarten.
Doch wie im richtigen Leben ist es ein großes Problem, wenn sie zu viel reden. Experian hat dies vor kurzem auf die harte Tour erfahren, als eine ihrer APIs - die von einem Drittpartner verwendet wird - potenziell die Kreditwürdigkeit von... nun ja, so ziemlich jedem amerikanischen Bürger preisgab.
Das Problem wurde schnell gepatcht, aber es bleibt die Frage, ob diese Sicherheitslücke wirklich gestoppt wurde. Wenn ein Anbieter betroffen war, stehen die Chancen gut, dass auch andere betroffen waren, und es besteht die Möglichkeit, dass es sich um einen systemischen Fehler handelt, der jeden betrifft, der diese unsichere API verwendet.
API-Sicherheit ist ein Thema, das den meisten Sicherheitsexperten nicht aus dem Kopf geht, und es ist etwas, für das wir uns mit dem Wissen ausstatten müssen, um es zu bekämpfen.
Jeder verwegene Geek kann die schlechte API-Authentifizierung umgehen
Ein Merkmal vieler Datenlecks, Sicherheitsverletzungen und Sicherheitsvorfälle ist, dass sie selten von einem Superhirn ausgeführt werden. Komplexe, heimtückische und schädliche Angriffe, wie wir sie bei SolarWinds gesehen haben, erfordern Teams von cyberkriminellen Genies, um sie auszuführen, und sie sind eher die Ausnahme als die Regel.
Wenn eine API mit schwacher Authentifizierung gebaut wird, ist es ziemlich einfach für sie, ausgenutzt zu werden. Bill Demirkapi, der Sicherheitsforscher, der Experians API-Bug entdeckte, stellte fest, dass auf diese ohne jegliche Authentifizierung zugegriffen werden konnte. Durch die Eingabe von 00/00/0000 in das Feld für das Geburtsdatum konnte er auf die Kreditwürdigkeit einer Person zugreifen, indem er nur öffentlich zugängliche Informationen wie den Namen und die dazugehörige Postanschrift verwendete. Dies wurde zwar nicht gemeldet, aber das Potenzial, dass diese Datensätze als kreditbezogener Datendump abgegriffen und kontextualisiert werden (und somit wertvoll sind), ist sicherlich vorhanden.
Saubere und funktionale Authentifizierungsprozesse sollten vorhanden sein, egal wie klein der Anwendungsfall ist; eine Chatterbox-API, die nicht ordnungsgemäß abgesichert ist und potenziell den Zugriff auf mehrere Systeme ermöglicht, ist eine Gefahr.
Broken Authentication ist die Nummer zwei auf der OWASP Top 10 API-Schwachstellenliste. Lesen Sie hier mehr darüber, wie Sie diesen Fehler vermeiden können, und testen Sie Ihre Fähigkeiten auf unserer Plattform, sobald Sie Ihr Gehirn gefüttert haben.
Schlechte API-Sicherheitskontrollen sind ein weit verbreitetes Problem, das einen kulturellen Wandel erfordert
Es ist nicht fair, mit dem Finger nur auf Unternehmen wie Experian zu zeigen, aber der Mangel an Nuancen und Sorgfalt bei der Sicherheitskontrolle, der in dieser speziellen API-Enthüllung gezeigt wurde, lässt nichts Gutes für die vielen Unternehmen da draußen erahnen, die APIs als Teil ihrer IT-Systeme und Endpunkte nutzen.
Generell müssen wir noch viel mehr tun, um API-Schwachstellen nicht nur zu finden und zu beheben, sondern sie als Teil der Angriffsfläche zu verstehen, die wir schützen sollen. Die Sichtbarkeit von APIs - und wie sie erstellt wurden - ist ein großes Anliegen und sollte als Teil der Best Practices für Sicherheit gefordert werden. Selbst ein Unternehmen mit den strengsten Sicherheitsmaßnahmen kann durch eine API, die veröffentlicht wird und außerhalb der Sicherheitskontrollen des Unternehmens arbeitet, in Gefahr geraten. Es ist wichtiger denn je, sich zu fragen, woher eine API kommt, wer sie letztendlich verwaltet (ist es ein Drittanbieter? Wie streng sind seine Sicherheitsmaßnahmen?) und auf welche Informationen sie zugreift.
Injection-Schwachstellen bleiben für jeden CISO ein Dorn im Auge.
API-Sicherheit scheint ein relativ neues Modul zu sein, das in ein Sicherheitsprogramm aufgenommen werden sollte, aber es kann mit einigen (sehr) alten Tricks ausgenutzt werden, die wir von gewöhnlicher Web-Software kennen.
Ein kürzlich bekannt gewordener Angriff auf Accellion zeigte, dass verkettete SQL-Injection- und OS-Befehlsausführungs-Angriffe es den Bedrohungsakteuren ermöglichten, APIs zu manipulieren und eine beträchtliche Menge sensibler Daten zu extrahieren, einschließlich Sozialversicherungsnummern. Es wurde festgestellt, dass die Angreifer umfangreiche Kenntnisse über die FTA-Software von Accellion haben mussten, um den Raub durchzuführen, was durch umfangreiches Reverse Engineering möglich gewesen wäre.
Da der Einbruch im Dezember 2020 und Januar 2021 stattfand, hatten die Diebe genügend Zeit, um Schaden anzurichten. Weitere Entdeckungen im Februar 2021 deckten eine gespeicherte XSS-Schwachstelle auf, wobei die forensische Analyse ergab, dass nur ein API-Endpunkt mit nicht ordnungsgemäß bereinigten Benutzereingaben es ermöglichte, ein Argument beim Aufruf des Skripts admin.pl zu injizieren.
Bei über 3000 Kunden, darunter viele renommierte Bildungseinrichtungen, könnte dieser Verstoß weitreichende Folgen haben. Leider wurden diese Angriffe durch die Ausnutzung allgemeiner Schwachstellen ermöglicht, von denen viele von sicherheitsbewussten Entwicklern bereits auf Code-Ebene und vor der Produktion hätten behoben werden können. Wie wir immer wieder sehen, braucht es nur ein kleines offen gelassenes Fenster, um große Probleme zu verursachen. Und eine Kultur der von Menschen geführten Cyber-Verteidigung muss Teil der Strategie sein, um ein sehr menschliches Problem zu lösen.
Möchten Sie jetzt Ihre API-Sicherheitskenntnisse testen in Java Spring API, Kotlin Spring API, C# (.NET) Web API und mehr? Probieren Sie einige API-Herausforderungen auf unserer Learning Platform aus (prüfen Sie alle Sprachen:Frameworks über das Dropdown):
API-Sicherheit ist ein Thema, das den meisten Sicherheitsexperten nicht aus dem Kopf geht, und es ist etwas, für das wir uns mit dem Wissen ausstatten müssen, um es zu bekämpfen.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Im Leben ist Kommunikation im Allgemeinen eine großartige Sache. Es gibt keinen schnelleren Weg, um zu einem Verständnis zu kommen, etwas Neues zu lernen oder eine Beziehung aufzubauen. In der Softwarebranche dienen APIs einem kommunikativen Zweck, der es Anwendungen ermöglicht, miteinander zu kommunizieren und so Funktionen und Benutzerfreundlichkeit zu verbessern. Diese Konnektivität führt oft zu einem reichhaltigeren Erlebnis, das die Endbenutzer lieben und zunehmend von der Software in ihrem täglichen Leben erwarten.
Doch wie im richtigen Leben ist es ein großes Problem, wenn sie zu viel reden. Experian hat dies vor kurzem auf die harte Tour erfahren, als eine ihrer APIs - die von einem Drittpartner verwendet wird - potenziell die Kreditwürdigkeit von... nun ja, so ziemlich jedem amerikanischen Bürger preisgab.
Das Problem wurde schnell gepatcht, aber es bleibt die Frage, ob diese Sicherheitslücke wirklich gestoppt wurde. Wenn ein Anbieter betroffen war, stehen die Chancen gut, dass auch andere betroffen waren, und es besteht die Möglichkeit, dass es sich um einen systemischen Fehler handelt, der jeden betrifft, der diese unsichere API verwendet.
API-Sicherheit ist ein Thema, das den meisten Sicherheitsexperten nicht aus dem Kopf geht, und es ist etwas, für das wir uns mit dem Wissen ausstatten müssen, um es zu bekämpfen.
Jeder verwegene Geek kann die schlechte API-Authentifizierung umgehen
Ein Merkmal vieler Datenlecks, Sicherheitsverletzungen und Sicherheitsvorfälle ist, dass sie selten von einem Superhirn ausgeführt werden. Komplexe, heimtückische und schädliche Angriffe, wie wir sie bei SolarWinds gesehen haben, erfordern Teams von cyberkriminellen Genies, um sie auszuführen, und sie sind eher die Ausnahme als die Regel.
Wenn eine API mit schwacher Authentifizierung gebaut wird, ist es ziemlich einfach für sie, ausgenutzt zu werden. Bill Demirkapi, der Sicherheitsforscher, der Experians API-Bug entdeckte, stellte fest, dass auf diese ohne jegliche Authentifizierung zugegriffen werden konnte. Durch die Eingabe von 00/00/0000 in das Feld für das Geburtsdatum konnte er auf die Kreditwürdigkeit einer Person zugreifen, indem er nur öffentlich zugängliche Informationen wie den Namen und die dazugehörige Postanschrift verwendete. Dies wurde zwar nicht gemeldet, aber das Potenzial, dass diese Datensätze als kreditbezogener Datendump abgegriffen und kontextualisiert werden (und somit wertvoll sind), ist sicherlich vorhanden.
Saubere und funktionale Authentifizierungsprozesse sollten vorhanden sein, egal wie klein der Anwendungsfall ist; eine Chatterbox-API, die nicht ordnungsgemäß abgesichert ist und potenziell den Zugriff auf mehrere Systeme ermöglicht, ist eine Gefahr.
Broken Authentication ist die Nummer zwei auf der OWASP Top 10 API-Schwachstellenliste. Lesen Sie hier mehr darüber, wie Sie diesen Fehler vermeiden können, und testen Sie Ihre Fähigkeiten auf unserer Plattform, sobald Sie Ihr Gehirn gefüttert haben.
Schlechte API-Sicherheitskontrollen sind ein weit verbreitetes Problem, das einen kulturellen Wandel erfordert
Es ist nicht fair, mit dem Finger nur auf Unternehmen wie Experian zu zeigen, aber der Mangel an Nuancen und Sorgfalt bei der Sicherheitskontrolle, der in dieser speziellen API-Enthüllung gezeigt wurde, lässt nichts Gutes für die vielen Unternehmen da draußen erahnen, die APIs als Teil ihrer IT-Systeme und Endpunkte nutzen.
Generell müssen wir noch viel mehr tun, um API-Schwachstellen nicht nur zu finden und zu beheben, sondern sie als Teil der Angriffsfläche zu verstehen, die wir schützen sollen. Die Sichtbarkeit von APIs - und wie sie erstellt wurden - ist ein großes Anliegen und sollte als Teil der Best Practices für Sicherheit gefordert werden. Selbst ein Unternehmen mit den strengsten Sicherheitsmaßnahmen kann durch eine API, die veröffentlicht wird und außerhalb der Sicherheitskontrollen des Unternehmens arbeitet, in Gefahr geraten. Es ist wichtiger denn je, sich zu fragen, woher eine API kommt, wer sie letztendlich verwaltet (ist es ein Drittanbieter? Wie streng sind seine Sicherheitsmaßnahmen?) und auf welche Informationen sie zugreift.
Injection-Schwachstellen bleiben für jeden CISO ein Dorn im Auge.
API-Sicherheit scheint ein relativ neues Modul zu sein, das in ein Sicherheitsprogramm aufgenommen werden sollte, aber es kann mit einigen (sehr) alten Tricks ausgenutzt werden, die wir von gewöhnlicher Web-Software kennen.
Ein kürzlich bekannt gewordener Angriff auf Accellion zeigte, dass verkettete SQL-Injection- und OS-Befehlsausführungs-Angriffe es den Bedrohungsakteuren ermöglichten, APIs zu manipulieren und eine beträchtliche Menge sensibler Daten zu extrahieren, einschließlich Sozialversicherungsnummern. Es wurde festgestellt, dass die Angreifer umfangreiche Kenntnisse über die FTA-Software von Accellion haben mussten, um den Raub durchzuführen, was durch umfangreiches Reverse Engineering möglich gewesen wäre.
Da der Einbruch im Dezember 2020 und Januar 2021 stattfand, hatten die Diebe genügend Zeit, um Schaden anzurichten. Weitere Entdeckungen im Februar 2021 deckten eine gespeicherte XSS-Schwachstelle auf, wobei die forensische Analyse ergab, dass nur ein API-Endpunkt mit nicht ordnungsgemäß bereinigten Benutzereingaben es ermöglichte, ein Argument beim Aufruf des Skripts admin.pl zu injizieren.
Bei über 3000 Kunden, darunter viele renommierte Bildungseinrichtungen, könnte dieser Verstoß weitreichende Folgen haben. Leider wurden diese Angriffe durch die Ausnutzung allgemeiner Schwachstellen ermöglicht, von denen viele von sicherheitsbewussten Entwicklern bereits auf Code-Ebene und vor der Produktion hätten behoben werden können. Wie wir immer wieder sehen, braucht es nur ein kleines offen gelassenes Fenster, um große Probleme zu verursachen. Und eine Kultur der von Menschen geführten Cyber-Verteidigung muss Teil der Strategie sein, um ein sehr menschliches Problem zu lösen.
Möchten Sie jetzt Ihre API-Sicherheitskenntnisse testen in Java Spring API, Kotlin Spring API, C# (.NET) Web API und mehr? Probieren Sie einige API-Herausforderungen auf unserer Learning Platform aus (prüfen Sie alle Sprachen:Frameworks über das Dropdown):
Im Leben ist Kommunikation im Allgemeinen eine großartige Sache. Es gibt keinen schnelleren Weg, um zu einem Verständnis zu kommen, etwas Neues zu lernen oder eine Beziehung aufzubauen. In der Softwarebranche dienen APIs einem kommunikativen Zweck, der es Anwendungen ermöglicht, miteinander zu kommunizieren und so Funktionen und Benutzerfreundlichkeit zu verbessern. Diese Konnektivität führt oft zu einem reichhaltigeren Erlebnis, das die Endbenutzer lieben und zunehmend von der Software in ihrem täglichen Leben erwarten.
Doch wie im richtigen Leben ist es ein großes Problem, wenn sie zu viel reden. Experian hat dies vor kurzem auf die harte Tour erfahren, als eine ihrer APIs - die von einem Drittpartner verwendet wird - potenziell die Kreditwürdigkeit von... nun ja, so ziemlich jedem amerikanischen Bürger preisgab.
Das Problem wurde schnell gepatcht, aber es bleibt die Frage, ob diese Sicherheitslücke wirklich gestoppt wurde. Wenn ein Anbieter betroffen war, stehen die Chancen gut, dass auch andere betroffen waren, und es besteht die Möglichkeit, dass es sich um einen systemischen Fehler handelt, der jeden betrifft, der diese unsichere API verwendet.
API-Sicherheit ist ein Thema, das den meisten Sicherheitsexperten nicht aus dem Kopf geht, und es ist etwas, für das wir uns mit dem Wissen ausstatten müssen, um es zu bekämpfen.
Jeder verwegene Geek kann die schlechte API-Authentifizierung umgehen
Ein Merkmal vieler Datenlecks, Sicherheitsverletzungen und Sicherheitsvorfälle ist, dass sie selten von einem Superhirn ausgeführt werden. Komplexe, heimtückische und schädliche Angriffe, wie wir sie bei SolarWinds gesehen haben, erfordern Teams von cyberkriminellen Genies, um sie auszuführen, und sie sind eher die Ausnahme als die Regel.
Wenn eine API mit schwacher Authentifizierung gebaut wird, ist es ziemlich einfach für sie, ausgenutzt zu werden. Bill Demirkapi, der Sicherheitsforscher, der Experians API-Bug entdeckte, stellte fest, dass auf diese ohne jegliche Authentifizierung zugegriffen werden konnte. Durch die Eingabe von 00/00/0000 in das Feld für das Geburtsdatum konnte er auf die Kreditwürdigkeit einer Person zugreifen, indem er nur öffentlich zugängliche Informationen wie den Namen und die dazugehörige Postanschrift verwendete. Dies wurde zwar nicht gemeldet, aber das Potenzial, dass diese Datensätze als kreditbezogener Datendump abgegriffen und kontextualisiert werden (und somit wertvoll sind), ist sicherlich vorhanden.
Saubere und funktionale Authentifizierungsprozesse sollten vorhanden sein, egal wie klein der Anwendungsfall ist; eine Chatterbox-API, die nicht ordnungsgemäß abgesichert ist und potenziell den Zugriff auf mehrere Systeme ermöglicht, ist eine Gefahr.
Broken Authentication ist die Nummer zwei auf der OWASP Top 10 API-Schwachstellenliste. Lesen Sie hier mehr darüber, wie Sie diesen Fehler vermeiden können, und testen Sie Ihre Fähigkeiten auf unserer Plattform, sobald Sie Ihr Gehirn gefüttert haben.
Schlechte API-Sicherheitskontrollen sind ein weit verbreitetes Problem, das einen kulturellen Wandel erfordert
Es ist nicht fair, mit dem Finger nur auf Unternehmen wie Experian zu zeigen, aber der Mangel an Nuancen und Sorgfalt bei der Sicherheitskontrolle, der in dieser speziellen API-Enthüllung gezeigt wurde, lässt nichts Gutes für die vielen Unternehmen da draußen erahnen, die APIs als Teil ihrer IT-Systeme und Endpunkte nutzen.
Generell müssen wir noch viel mehr tun, um API-Schwachstellen nicht nur zu finden und zu beheben, sondern sie als Teil der Angriffsfläche zu verstehen, die wir schützen sollen. Die Sichtbarkeit von APIs - und wie sie erstellt wurden - ist ein großes Anliegen und sollte als Teil der Best Practices für Sicherheit gefordert werden. Selbst ein Unternehmen mit den strengsten Sicherheitsmaßnahmen kann durch eine API, die veröffentlicht wird und außerhalb der Sicherheitskontrollen des Unternehmens arbeitet, in Gefahr geraten. Es ist wichtiger denn je, sich zu fragen, woher eine API kommt, wer sie letztendlich verwaltet (ist es ein Drittanbieter? Wie streng sind seine Sicherheitsmaßnahmen?) und auf welche Informationen sie zugreift.
Injection-Schwachstellen bleiben für jeden CISO ein Dorn im Auge.
API-Sicherheit scheint ein relativ neues Modul zu sein, das in ein Sicherheitsprogramm aufgenommen werden sollte, aber es kann mit einigen (sehr) alten Tricks ausgenutzt werden, die wir von gewöhnlicher Web-Software kennen.
Ein kürzlich bekannt gewordener Angriff auf Accellion zeigte, dass verkettete SQL-Injection- und OS-Befehlsausführungs-Angriffe es den Bedrohungsakteuren ermöglichten, APIs zu manipulieren und eine beträchtliche Menge sensibler Daten zu extrahieren, einschließlich Sozialversicherungsnummern. Es wurde festgestellt, dass die Angreifer umfangreiche Kenntnisse über die FTA-Software von Accellion haben mussten, um den Raub durchzuführen, was durch umfangreiches Reverse Engineering möglich gewesen wäre.
Da der Einbruch im Dezember 2020 und Januar 2021 stattfand, hatten die Diebe genügend Zeit, um Schaden anzurichten. Weitere Entdeckungen im Februar 2021 deckten eine gespeicherte XSS-Schwachstelle auf, wobei die forensische Analyse ergab, dass nur ein API-Endpunkt mit nicht ordnungsgemäß bereinigten Benutzereingaben es ermöglichte, ein Argument beim Aufruf des Skripts admin.pl zu injizieren.
Bei über 3000 Kunden, darunter viele renommierte Bildungseinrichtungen, könnte dieser Verstoß weitreichende Folgen haben. Leider wurden diese Angriffe durch die Ausnutzung allgemeiner Schwachstellen ermöglicht, von denen viele von sicherheitsbewussten Entwicklern bereits auf Code-Ebene und vor der Produktion hätten behoben werden können. Wie wir immer wieder sehen, braucht es nur ein kleines offen gelassenes Fenster, um große Probleme zu verursachen. Und eine Kultur der von Menschen geführten Cyber-Verteidigung muss Teil der Strategie sein, um ein sehr menschliches Problem zu lösen.
Möchten Sie jetzt Ihre API-Sicherheitskenntnisse testen in Java Spring API, Kotlin Spring API, C# (.NET) Web API und mehr? Probieren Sie einige API-Herausforderungen auf unserer Learning Platform aus (prüfen Sie alle Sprachen:Frameworks über das Dropdown):
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Im Leben ist Kommunikation im Allgemeinen eine großartige Sache. Es gibt keinen schnelleren Weg, um zu einem Verständnis zu kommen, etwas Neues zu lernen oder eine Beziehung aufzubauen. In der Softwarebranche dienen APIs einem kommunikativen Zweck, der es Anwendungen ermöglicht, miteinander zu kommunizieren und so Funktionen und Benutzerfreundlichkeit zu verbessern. Diese Konnektivität führt oft zu einem reichhaltigeren Erlebnis, das die Endbenutzer lieben und zunehmend von der Software in ihrem täglichen Leben erwarten.
Doch wie im richtigen Leben ist es ein großes Problem, wenn sie zu viel reden. Experian hat dies vor kurzem auf die harte Tour erfahren, als eine ihrer APIs - die von einem Drittpartner verwendet wird - potenziell die Kreditwürdigkeit von... nun ja, so ziemlich jedem amerikanischen Bürger preisgab.
Das Problem wurde schnell gepatcht, aber es bleibt die Frage, ob diese Sicherheitslücke wirklich gestoppt wurde. Wenn ein Anbieter betroffen war, stehen die Chancen gut, dass auch andere betroffen waren, und es besteht die Möglichkeit, dass es sich um einen systemischen Fehler handelt, der jeden betrifft, der diese unsichere API verwendet.
API-Sicherheit ist ein Thema, das den meisten Sicherheitsexperten nicht aus dem Kopf geht, und es ist etwas, für das wir uns mit dem Wissen ausstatten müssen, um es zu bekämpfen.
Jeder verwegene Geek kann die schlechte API-Authentifizierung umgehen
Ein Merkmal vieler Datenlecks, Sicherheitsverletzungen und Sicherheitsvorfälle ist, dass sie selten von einem Superhirn ausgeführt werden. Komplexe, heimtückische und schädliche Angriffe, wie wir sie bei SolarWinds gesehen haben, erfordern Teams von cyberkriminellen Genies, um sie auszuführen, und sie sind eher die Ausnahme als die Regel.
Wenn eine API mit schwacher Authentifizierung gebaut wird, ist es ziemlich einfach für sie, ausgenutzt zu werden. Bill Demirkapi, der Sicherheitsforscher, der Experians API-Bug entdeckte, stellte fest, dass auf diese ohne jegliche Authentifizierung zugegriffen werden konnte. Durch die Eingabe von 00/00/0000 in das Feld für das Geburtsdatum konnte er auf die Kreditwürdigkeit einer Person zugreifen, indem er nur öffentlich zugängliche Informationen wie den Namen und die dazugehörige Postanschrift verwendete. Dies wurde zwar nicht gemeldet, aber das Potenzial, dass diese Datensätze als kreditbezogener Datendump abgegriffen und kontextualisiert werden (und somit wertvoll sind), ist sicherlich vorhanden.
Saubere und funktionale Authentifizierungsprozesse sollten vorhanden sein, egal wie klein der Anwendungsfall ist; eine Chatterbox-API, die nicht ordnungsgemäß abgesichert ist und potenziell den Zugriff auf mehrere Systeme ermöglicht, ist eine Gefahr.
Broken Authentication ist die Nummer zwei auf der OWASP Top 10 API-Schwachstellenliste. Lesen Sie hier mehr darüber, wie Sie diesen Fehler vermeiden können, und testen Sie Ihre Fähigkeiten auf unserer Plattform, sobald Sie Ihr Gehirn gefüttert haben.
Schlechte API-Sicherheitskontrollen sind ein weit verbreitetes Problem, das einen kulturellen Wandel erfordert
Es ist nicht fair, mit dem Finger nur auf Unternehmen wie Experian zu zeigen, aber der Mangel an Nuancen und Sorgfalt bei der Sicherheitskontrolle, der in dieser speziellen API-Enthüllung gezeigt wurde, lässt nichts Gutes für die vielen Unternehmen da draußen erahnen, die APIs als Teil ihrer IT-Systeme und Endpunkte nutzen.
Generell müssen wir noch viel mehr tun, um API-Schwachstellen nicht nur zu finden und zu beheben, sondern sie als Teil der Angriffsfläche zu verstehen, die wir schützen sollen. Die Sichtbarkeit von APIs - und wie sie erstellt wurden - ist ein großes Anliegen und sollte als Teil der Best Practices für Sicherheit gefordert werden. Selbst ein Unternehmen mit den strengsten Sicherheitsmaßnahmen kann durch eine API, die veröffentlicht wird und außerhalb der Sicherheitskontrollen des Unternehmens arbeitet, in Gefahr geraten. Es ist wichtiger denn je, sich zu fragen, woher eine API kommt, wer sie letztendlich verwaltet (ist es ein Drittanbieter? Wie streng sind seine Sicherheitsmaßnahmen?) und auf welche Informationen sie zugreift.
Injection-Schwachstellen bleiben für jeden CISO ein Dorn im Auge.
API-Sicherheit scheint ein relativ neues Modul zu sein, das in ein Sicherheitsprogramm aufgenommen werden sollte, aber es kann mit einigen (sehr) alten Tricks ausgenutzt werden, die wir von gewöhnlicher Web-Software kennen.
Ein kürzlich bekannt gewordener Angriff auf Accellion zeigte, dass verkettete SQL-Injection- und OS-Befehlsausführungs-Angriffe es den Bedrohungsakteuren ermöglichten, APIs zu manipulieren und eine beträchtliche Menge sensibler Daten zu extrahieren, einschließlich Sozialversicherungsnummern. Es wurde festgestellt, dass die Angreifer umfangreiche Kenntnisse über die FTA-Software von Accellion haben mussten, um den Raub durchzuführen, was durch umfangreiches Reverse Engineering möglich gewesen wäre.
Da der Einbruch im Dezember 2020 und Januar 2021 stattfand, hatten die Diebe genügend Zeit, um Schaden anzurichten. Weitere Entdeckungen im Februar 2021 deckten eine gespeicherte XSS-Schwachstelle auf, wobei die forensische Analyse ergab, dass nur ein API-Endpunkt mit nicht ordnungsgemäß bereinigten Benutzereingaben es ermöglichte, ein Argument beim Aufruf des Skripts admin.pl zu injizieren.
Bei über 3000 Kunden, darunter viele renommierte Bildungseinrichtungen, könnte dieser Verstoß weitreichende Folgen haben. Leider wurden diese Angriffe durch die Ausnutzung allgemeiner Schwachstellen ermöglicht, von denen viele von sicherheitsbewussten Entwicklern bereits auf Code-Ebene und vor der Produktion hätten behoben werden können. Wie wir immer wieder sehen, braucht es nur ein kleines offen gelassenes Fenster, um große Probleme zu verursachen. Und eine Kultur der von Menschen geführten Cyber-Verteidigung muss Teil der Strategie sein, um ein sehr menschliches Problem zu lösen.
Möchten Sie jetzt Ihre API-Sicherheitskenntnisse testen in Java Spring API, Kotlin Spring API, C# (.NET) Web API und mehr? Probieren Sie einige API-Herausforderungen auf unserer Learning Platform aus (prüfen Sie alle Sprachen:Frameworks über das Dropdown):
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Professionelle Dienstleistungen - Beschleunigen Sie mit Fachwissen
Das PSS-Team (Program Strategy Services) von Secure Code Warriorunterstützt Sie beim Aufbau, der Verbesserung und der Optimierung Ihres Programms für sichere Codierung. Ganz gleich, ob Sie neu anfangen oder Ihren Ansatz verfeinern möchten, unsere Experten bieten Ihnen maßgeschneiderte Beratung.
Themen und Inhalte der Schulung zu sicherem Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sie an die sich ständig verändernde Softwareentwicklungslandschaft anzupassen und Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis XQuery Injection und werden für eine Vielzahl von Rollen angeboten, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Überblick über die Inhalte, die unser Katalog nach Thema und Rolle bietet.
Quests: Branchenführendes Lernen, damit die Entwickler immer einen Schritt voraus sind und Risiken minimiert werden.
Quests ist eine learning platform , die Entwicklern hilft, Software-Sicherheitsrisiken zu verringern, indem sie ihre Fähigkeiten zur sicheren Programmierung verbessern. Mit kuratierten Lernpfaden, praktischen Herausforderungen und interaktiven Aktivitäten befähigt sie Entwickler, Schwachstellen zu erkennen und zu vermeiden.
Ressourcen für den Einstieg
Das Jahrzehnt der Defenders: Secure Code Warrior Zehnte Runde
Secure Code WarriorDas Gründungsteam von SCW ist zusammengeblieben und hat das Schiff ein ganzes Jahrzehnt lang durch alle Lektionen, Triumphe und Rückschläge gesteuert. Wir vergrößern uns und sind bereit für unser nächstes Kapitel, SCW 2.0, als führendes Unternehmen im Risikomanagement für Entwickler.
10 wichtige Vorhersagen: Secure Code Warrior über den Einfluss von KI und Secure-by-Design im Jahr 2025
Unternehmen stehen vor schwierigen Entscheidungen über den Einsatz von KI, um die langfristige Produktivität, Nachhaltigkeit und den Sicherheits-ROI zu unterstützen. In den letzten Jahren ist uns klar geworden, dass KI die Rolle des Entwicklers niemals vollständig ersetzen wird. Von KI + Entwicklerpartnerschaften bis hin zum zunehmenden Druck (und der Verwirrung) rund um die Secure-by-Design-Erwartungen - lassen Sie uns einen genaueren Blick darauf werfen, was wir im nächsten Jahr erwarten können.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
