Las API con fugas amenazan con arruinar la reputación de las empresas
Im Leben ist Kommunikation im Allgemeinen eine großartige Sache. Es gibt keinen schnelleren Weg, um zu einem Verständnis zu kommen, etwas Neues zu lernen oder eine Beziehung aufzubauen. In der Softwarebranche dienen APIs einem kommunikativen Zweck, der es Anwendungen ermöglicht, miteinander zu kommunizieren und so Funktionen und Benutzerfreundlichkeit zu verbessern. Diese Konnektivität führt oft zu einem reichhaltigeren Erlebnis, das die Endbenutzer lieben und zunehmend von der Software in ihrem täglichen Leben erwarten.
Doch wie im richtigen Leben ist es ein großes Problem, wenn sie zu viel reden. Experian hat dies vor kurzem auf die harte Tour erfahren, als eine ihrer APIs - die von einem Drittpartner verwendet wird - potenziell die Kreditwürdigkeit von... nun ja, so ziemlich jedem amerikanischen Bürger preisgab.
Das Problem wurde schnell gepatcht, aber es bleibt die Frage, ob diese Sicherheitslücke wirklich gestoppt wurde. Wenn ein Anbieter betroffen war, stehen die Chancen gut, dass auch andere betroffen waren, und es besteht die Möglichkeit, dass es sich um einen systemischen Fehler handelt, der jeden betrifft, der diese unsichere API verwendet.
API-Sicherheit ist ein Thema, das den meisten Sicherheitsexperten nicht aus dem Kopf geht, und es ist etwas, für das wir uns mit dem Wissen ausstatten müssen, um es zu bekämpfen.
Jeder verwegene Geek kann die schlechte API-Authentifizierung umgehen
Ein Merkmal vieler Datenlecks, Sicherheitsverletzungen und Sicherheitsvorfälle ist, dass sie selten von einem Superhirn ausgeführt werden. Komplexe, heimtückische und schädliche Angriffe, wie wir sie bei SolarWinds gesehen haben, erfordern Teams von cyberkriminellen Genies, um sie auszuführen, und sie sind eher die Ausnahme als die Regel.
Wenn eine API mit schwacher Authentifizierung gebaut wird, ist es ziemlich einfach für sie, ausgenutzt zu werden. Bill Demirkapi, der Sicherheitsforscher, der Experians API-Bug entdeckte, stellte fest, dass auf diese ohne jegliche Authentifizierung zugegriffen werden konnte. Durch die Eingabe von 00/00/0000 in das Feld für das Geburtsdatum konnte er auf die Kreditwürdigkeit einer Person zugreifen, indem er nur öffentlich zugängliche Informationen wie den Namen und die dazugehörige Postanschrift verwendete. Dies wurde zwar nicht gemeldet, aber das Potenzial, dass diese Datensätze als kreditbezogener Datendump abgegriffen und kontextualisiert werden (und somit wertvoll sind), ist sicherlich vorhanden.
Saubere und funktionale Authentifizierungsprozesse sollten vorhanden sein, egal wie klein der Anwendungsfall ist; eine Chatterbox-API, die nicht ordnungsgemäß abgesichert ist und potenziell den Zugriff auf mehrere Systeme ermöglicht, ist eine Gefahr.
Broken Authentication ist die Nummer zwei auf der OWASP Top 10 API-Schwachstellenliste. Lesen Sie hier mehr darüber, wie Sie diesen Fehler vermeiden können, und testen Sie Ihre Fähigkeiten auf unserer Plattform, sobald Sie Ihr Gehirn gefüttert haben.
Schlechte API-Sicherheitskontrollen sind ein weit verbreitetes Problem, das einen kulturellen Wandel erfordert
Es ist nicht fair, mit dem Finger nur auf Unternehmen wie Experian zu zeigen, aber der Mangel an Nuancen und Sorgfalt bei der Sicherheitskontrolle, der in dieser speziellen API-Enthüllung gezeigt wurde, lässt nichts Gutes für die vielen Unternehmen da draußen erahnen, die APIs als Teil ihrer IT-Systeme und Endpunkte nutzen.
Generell müssen wir noch viel mehr tun, um API-Schwachstellen nicht nur zu finden und zu beheben, sondern sie als Teil der Angriffsfläche zu verstehen, die wir schützen sollen. Die Sichtbarkeit von APIs - und wie sie erstellt wurden - ist ein großes Anliegen und sollte als Teil der Best Practices für Sicherheit gefordert werden. Selbst ein Unternehmen mit den strengsten Sicherheitsmaßnahmen kann durch eine API, die veröffentlicht wird und außerhalb der Sicherheitskontrollen des Unternehmens arbeitet, in Gefahr geraten. Es ist wichtiger denn je, sich zu fragen, woher eine API kommt, wer sie letztendlich verwaltet (ist es ein Drittanbieter? Wie streng sind seine Sicherheitsmaßnahmen?) und auf welche Informationen sie zugreift.
Injection-Schwachstellen bleiben für jeden CISO ein Dorn im Auge.
API-Sicherheit scheint ein relativ neues Modul zu sein, das in ein Sicherheitsprogramm aufgenommen werden sollte, aber es kann mit einigen (sehr) alten Tricks ausgenutzt werden, die wir von gewöhnlicher Web-Software kennen.
Ein kürzlich bekannt gewordener Angriff auf Accellion zeigte, dass verkettete SQL-Injection- und OS-Befehlsausführungs-Angriffe es den Bedrohungsakteuren ermöglichten, APIs zu manipulieren und eine beträchtliche Menge sensibler Daten zu extrahieren, einschließlich Sozialversicherungsnummern. Es wurde festgestellt, dass die Angreifer umfangreiche Kenntnisse über die FTA-Software von Accellion haben mussten, um den Raub durchzuführen, was durch umfangreiches Reverse Engineering möglich gewesen wäre.
Da der Einbruch im Dezember 2020 und Januar 2021 stattfand, hatten die Diebe genügend Zeit, um Schaden anzurichten. Weitere Entdeckungen im Februar 2021 deckten eine gespeicherte XSS-Schwachstelle auf, wobei die forensische Analyse ergab, dass nur ein API-Endpunkt mit nicht ordnungsgemäß bereinigten Benutzereingaben es ermöglichte, ein Argument beim Aufruf des Skripts admin.pl zu injizieren.
Bei über 3000 Kunden, darunter viele renommierte Bildungseinrichtungen, könnte dieser Verstoß weitreichende Folgen haben. Leider wurden diese Angriffe durch die Ausnutzung allgemeiner Schwachstellen ermöglicht, von denen viele von sicherheitsbewussten Entwicklern bereits auf Code-Ebene und vor der Produktion hätten behoben werden können. Wie wir immer wieder sehen, braucht es nur ein kleines offen gelassenes Fenster, um große Probleme zu verursachen. Und eine Kultur der von Menschen geführten Cyber-Verteidigung muss Teil der Strategie sein, um ein sehr menschliches Problem zu lösen.
Möchten Sie jetzt Ihre API-Sicherheitskenntnisse testen in Java Spring API, Kotlin Spring API, C# (.NET) Web API und mehr? Probieren Sie einige API-Herausforderungen auf unserer Learning Platform aus (prüfen Sie alle Sprachen:Frameworks über das Dropdown):
La seguridad de las API es un problema que no está muy lejos de la mente de la mayoría de los expertos en seguridad, y es algo que necesitamos dotarnos del conocimiento necesario para combatirlo.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Im Leben ist Kommunikation im Allgemeinen eine großartige Sache. Es gibt keinen schnelleren Weg, um zu einem Verständnis zu kommen, etwas Neues zu lernen oder eine Beziehung aufzubauen. In der Softwarebranche dienen APIs einem kommunikativen Zweck, der es Anwendungen ermöglicht, miteinander zu kommunizieren und so Funktionen und Benutzerfreundlichkeit zu verbessern. Diese Konnektivität führt oft zu einem reichhaltigeren Erlebnis, das die Endbenutzer lieben und zunehmend von der Software in ihrem täglichen Leben erwarten.
Doch wie im richtigen Leben ist es ein großes Problem, wenn sie zu viel reden. Experian hat dies vor kurzem auf die harte Tour erfahren, als eine ihrer APIs - die von einem Drittpartner verwendet wird - potenziell die Kreditwürdigkeit von... nun ja, so ziemlich jedem amerikanischen Bürger preisgab.
Das Problem wurde schnell gepatcht, aber es bleibt die Frage, ob diese Sicherheitslücke wirklich gestoppt wurde. Wenn ein Anbieter betroffen war, stehen die Chancen gut, dass auch andere betroffen waren, und es besteht die Möglichkeit, dass es sich um einen systemischen Fehler handelt, der jeden betrifft, der diese unsichere API verwendet.
API-Sicherheit ist ein Thema, das den meisten Sicherheitsexperten nicht aus dem Kopf geht, und es ist etwas, für das wir uns mit dem Wissen ausstatten müssen, um es zu bekämpfen.
Jeder verwegene Geek kann die schlechte API-Authentifizierung umgehen
Ein Merkmal vieler Datenlecks, Sicherheitsverletzungen und Sicherheitsvorfälle ist, dass sie selten von einem Superhirn ausgeführt werden. Komplexe, heimtückische und schädliche Angriffe, wie wir sie bei SolarWinds gesehen haben, erfordern Teams von cyberkriminellen Genies, um sie auszuführen, und sie sind eher die Ausnahme als die Regel.
Wenn eine API mit schwacher Authentifizierung gebaut wird, ist es ziemlich einfach für sie, ausgenutzt zu werden. Bill Demirkapi, der Sicherheitsforscher, der Experians API-Bug entdeckte, stellte fest, dass auf diese ohne jegliche Authentifizierung zugegriffen werden konnte. Durch die Eingabe von 00/00/0000 in das Feld für das Geburtsdatum konnte er auf die Kreditwürdigkeit einer Person zugreifen, indem er nur öffentlich zugängliche Informationen wie den Namen und die dazugehörige Postanschrift verwendete. Dies wurde zwar nicht gemeldet, aber das Potenzial, dass diese Datensätze als kreditbezogener Datendump abgegriffen und kontextualisiert werden (und somit wertvoll sind), ist sicherlich vorhanden.
Saubere und funktionale Authentifizierungsprozesse sollten vorhanden sein, egal wie klein der Anwendungsfall ist; eine Chatterbox-API, die nicht ordnungsgemäß abgesichert ist und potenziell den Zugriff auf mehrere Systeme ermöglicht, ist eine Gefahr.
Broken Authentication ist die Nummer zwei auf der OWASP Top 10 API-Schwachstellenliste. Lesen Sie hier mehr darüber, wie Sie diesen Fehler vermeiden können, und testen Sie Ihre Fähigkeiten auf unserer Plattform, sobald Sie Ihr Gehirn gefüttert haben.
Schlechte API-Sicherheitskontrollen sind ein weit verbreitetes Problem, das einen kulturellen Wandel erfordert
Es ist nicht fair, mit dem Finger nur auf Unternehmen wie Experian zu zeigen, aber der Mangel an Nuancen und Sorgfalt bei der Sicherheitskontrolle, der in dieser speziellen API-Enthüllung gezeigt wurde, lässt nichts Gutes für die vielen Unternehmen da draußen erahnen, die APIs als Teil ihrer IT-Systeme und Endpunkte nutzen.
Generell müssen wir noch viel mehr tun, um API-Schwachstellen nicht nur zu finden und zu beheben, sondern sie als Teil der Angriffsfläche zu verstehen, die wir schützen sollen. Die Sichtbarkeit von APIs - und wie sie erstellt wurden - ist ein großes Anliegen und sollte als Teil der Best Practices für Sicherheit gefordert werden. Selbst ein Unternehmen mit den strengsten Sicherheitsmaßnahmen kann durch eine API, die veröffentlicht wird und außerhalb der Sicherheitskontrollen des Unternehmens arbeitet, in Gefahr geraten. Es ist wichtiger denn je, sich zu fragen, woher eine API kommt, wer sie letztendlich verwaltet (ist es ein Drittanbieter? Wie streng sind seine Sicherheitsmaßnahmen?) und auf welche Informationen sie zugreift.
Injection-Schwachstellen bleiben für jeden CISO ein Dorn im Auge.
API-Sicherheit scheint ein relativ neues Modul zu sein, das in ein Sicherheitsprogramm aufgenommen werden sollte, aber es kann mit einigen (sehr) alten Tricks ausgenutzt werden, die wir von gewöhnlicher Web-Software kennen.
Ein kürzlich bekannt gewordener Angriff auf Accellion zeigte, dass verkettete SQL-Injection- und OS-Befehlsausführungs-Angriffe es den Bedrohungsakteuren ermöglichten, APIs zu manipulieren und eine beträchtliche Menge sensibler Daten zu extrahieren, einschließlich Sozialversicherungsnummern. Es wurde festgestellt, dass die Angreifer umfangreiche Kenntnisse über die FTA-Software von Accellion haben mussten, um den Raub durchzuführen, was durch umfangreiches Reverse Engineering möglich gewesen wäre.
Da der Einbruch im Dezember 2020 und Januar 2021 stattfand, hatten die Diebe genügend Zeit, um Schaden anzurichten. Weitere Entdeckungen im Februar 2021 deckten eine gespeicherte XSS-Schwachstelle auf, wobei die forensische Analyse ergab, dass nur ein API-Endpunkt mit nicht ordnungsgemäß bereinigten Benutzereingaben es ermöglichte, ein Argument beim Aufruf des Skripts admin.pl zu injizieren.
Bei über 3000 Kunden, darunter viele renommierte Bildungseinrichtungen, könnte dieser Verstoß weitreichende Folgen haben. Leider wurden diese Angriffe durch die Ausnutzung allgemeiner Schwachstellen ermöglicht, von denen viele von sicherheitsbewussten Entwicklern bereits auf Code-Ebene und vor der Produktion hätten behoben werden können. Wie wir immer wieder sehen, braucht es nur ein kleines offen gelassenes Fenster, um große Probleme zu verursachen. Und eine Kultur der von Menschen geführten Cyber-Verteidigung muss Teil der Strategie sein, um ein sehr menschliches Problem zu lösen.
Möchten Sie jetzt Ihre API-Sicherheitskenntnisse testen in Java Spring API, Kotlin Spring API, C# (.NET) Web API und mehr? Probieren Sie einige API-Herausforderungen auf unserer Learning Platform aus (prüfen Sie alle Sprachen:Frameworks über das Dropdown):
Im Leben ist Kommunikation im Allgemeinen eine großartige Sache. Es gibt keinen schnelleren Weg, um zu einem Verständnis zu kommen, etwas Neues zu lernen oder eine Beziehung aufzubauen. In der Softwarebranche dienen APIs einem kommunikativen Zweck, der es Anwendungen ermöglicht, miteinander zu kommunizieren und so Funktionen und Benutzerfreundlichkeit zu verbessern. Diese Konnektivität führt oft zu einem reichhaltigeren Erlebnis, das die Endbenutzer lieben und zunehmend von der Software in ihrem täglichen Leben erwarten.
Doch wie im richtigen Leben ist es ein großes Problem, wenn sie zu viel reden. Experian hat dies vor kurzem auf die harte Tour erfahren, als eine ihrer APIs - die von einem Drittpartner verwendet wird - potenziell die Kreditwürdigkeit von... nun ja, so ziemlich jedem amerikanischen Bürger preisgab.
Das Problem wurde schnell gepatcht, aber es bleibt die Frage, ob diese Sicherheitslücke wirklich gestoppt wurde. Wenn ein Anbieter betroffen war, stehen die Chancen gut, dass auch andere betroffen waren, und es besteht die Möglichkeit, dass es sich um einen systemischen Fehler handelt, der jeden betrifft, der diese unsichere API verwendet.
API-Sicherheit ist ein Thema, das den meisten Sicherheitsexperten nicht aus dem Kopf geht, und es ist etwas, für das wir uns mit dem Wissen ausstatten müssen, um es zu bekämpfen.
Jeder verwegene Geek kann die schlechte API-Authentifizierung umgehen
Ein Merkmal vieler Datenlecks, Sicherheitsverletzungen und Sicherheitsvorfälle ist, dass sie selten von einem Superhirn ausgeführt werden. Komplexe, heimtückische und schädliche Angriffe, wie wir sie bei SolarWinds gesehen haben, erfordern Teams von cyberkriminellen Genies, um sie auszuführen, und sie sind eher die Ausnahme als die Regel.
Wenn eine API mit schwacher Authentifizierung gebaut wird, ist es ziemlich einfach für sie, ausgenutzt zu werden. Bill Demirkapi, der Sicherheitsforscher, der Experians API-Bug entdeckte, stellte fest, dass auf diese ohne jegliche Authentifizierung zugegriffen werden konnte. Durch die Eingabe von 00/00/0000 in das Feld für das Geburtsdatum konnte er auf die Kreditwürdigkeit einer Person zugreifen, indem er nur öffentlich zugängliche Informationen wie den Namen und die dazugehörige Postanschrift verwendete. Dies wurde zwar nicht gemeldet, aber das Potenzial, dass diese Datensätze als kreditbezogener Datendump abgegriffen und kontextualisiert werden (und somit wertvoll sind), ist sicherlich vorhanden.
Saubere und funktionale Authentifizierungsprozesse sollten vorhanden sein, egal wie klein der Anwendungsfall ist; eine Chatterbox-API, die nicht ordnungsgemäß abgesichert ist und potenziell den Zugriff auf mehrere Systeme ermöglicht, ist eine Gefahr.
Broken Authentication ist die Nummer zwei auf der OWASP Top 10 API-Schwachstellenliste. Lesen Sie hier mehr darüber, wie Sie diesen Fehler vermeiden können, und testen Sie Ihre Fähigkeiten auf unserer Plattform, sobald Sie Ihr Gehirn gefüttert haben.
Schlechte API-Sicherheitskontrollen sind ein weit verbreitetes Problem, das einen kulturellen Wandel erfordert
Es ist nicht fair, mit dem Finger nur auf Unternehmen wie Experian zu zeigen, aber der Mangel an Nuancen und Sorgfalt bei der Sicherheitskontrolle, der in dieser speziellen API-Enthüllung gezeigt wurde, lässt nichts Gutes für die vielen Unternehmen da draußen erahnen, die APIs als Teil ihrer IT-Systeme und Endpunkte nutzen.
Generell müssen wir noch viel mehr tun, um API-Schwachstellen nicht nur zu finden und zu beheben, sondern sie als Teil der Angriffsfläche zu verstehen, die wir schützen sollen. Die Sichtbarkeit von APIs - und wie sie erstellt wurden - ist ein großes Anliegen und sollte als Teil der Best Practices für Sicherheit gefordert werden. Selbst ein Unternehmen mit den strengsten Sicherheitsmaßnahmen kann durch eine API, die veröffentlicht wird und außerhalb der Sicherheitskontrollen des Unternehmens arbeitet, in Gefahr geraten. Es ist wichtiger denn je, sich zu fragen, woher eine API kommt, wer sie letztendlich verwaltet (ist es ein Drittanbieter? Wie streng sind seine Sicherheitsmaßnahmen?) und auf welche Informationen sie zugreift.
Injection-Schwachstellen bleiben für jeden CISO ein Dorn im Auge.
API-Sicherheit scheint ein relativ neues Modul zu sein, das in ein Sicherheitsprogramm aufgenommen werden sollte, aber es kann mit einigen (sehr) alten Tricks ausgenutzt werden, die wir von gewöhnlicher Web-Software kennen.
Ein kürzlich bekannt gewordener Angriff auf Accellion zeigte, dass verkettete SQL-Injection- und OS-Befehlsausführungs-Angriffe es den Bedrohungsakteuren ermöglichten, APIs zu manipulieren und eine beträchtliche Menge sensibler Daten zu extrahieren, einschließlich Sozialversicherungsnummern. Es wurde festgestellt, dass die Angreifer umfangreiche Kenntnisse über die FTA-Software von Accellion haben mussten, um den Raub durchzuführen, was durch umfangreiches Reverse Engineering möglich gewesen wäre.
Da der Einbruch im Dezember 2020 und Januar 2021 stattfand, hatten die Diebe genügend Zeit, um Schaden anzurichten. Weitere Entdeckungen im Februar 2021 deckten eine gespeicherte XSS-Schwachstelle auf, wobei die forensische Analyse ergab, dass nur ein API-Endpunkt mit nicht ordnungsgemäß bereinigten Benutzereingaben es ermöglichte, ein Argument beim Aufruf des Skripts admin.pl zu injizieren.
Bei über 3000 Kunden, darunter viele renommierte Bildungseinrichtungen, könnte dieser Verstoß weitreichende Folgen haben. Leider wurden diese Angriffe durch die Ausnutzung allgemeiner Schwachstellen ermöglicht, von denen viele von sicherheitsbewussten Entwicklern bereits auf Code-Ebene und vor der Produktion hätten behoben werden können. Wie wir immer wieder sehen, braucht es nur ein kleines offen gelassenes Fenster, um große Probleme zu verursachen. Und eine Kultur der von Menschen geführten Cyber-Verteidigung muss Teil der Strategie sein, um ein sehr menschliches Problem zu lösen.
Möchten Sie jetzt Ihre API-Sicherheitskenntnisse testen in Java Spring API, Kotlin Spring API, C# (.NET) Web API und mehr? Probieren Sie einige API-Herausforderungen auf unserer Learning Platform aus (prüfen Sie alle Sprachen:Frameworks über das Dropdown):
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Im Leben ist Kommunikation im Allgemeinen eine großartige Sache. Es gibt keinen schnelleren Weg, um zu einem Verständnis zu kommen, etwas Neues zu lernen oder eine Beziehung aufzubauen. In der Softwarebranche dienen APIs einem kommunikativen Zweck, der es Anwendungen ermöglicht, miteinander zu kommunizieren und so Funktionen und Benutzerfreundlichkeit zu verbessern. Diese Konnektivität führt oft zu einem reichhaltigeren Erlebnis, das die Endbenutzer lieben und zunehmend von der Software in ihrem täglichen Leben erwarten.
Doch wie im richtigen Leben ist es ein großes Problem, wenn sie zu viel reden. Experian hat dies vor kurzem auf die harte Tour erfahren, als eine ihrer APIs - die von einem Drittpartner verwendet wird - potenziell die Kreditwürdigkeit von... nun ja, so ziemlich jedem amerikanischen Bürger preisgab.
Das Problem wurde schnell gepatcht, aber es bleibt die Frage, ob diese Sicherheitslücke wirklich gestoppt wurde. Wenn ein Anbieter betroffen war, stehen die Chancen gut, dass auch andere betroffen waren, und es besteht die Möglichkeit, dass es sich um einen systemischen Fehler handelt, der jeden betrifft, der diese unsichere API verwendet.
API-Sicherheit ist ein Thema, das den meisten Sicherheitsexperten nicht aus dem Kopf geht, und es ist etwas, für das wir uns mit dem Wissen ausstatten müssen, um es zu bekämpfen.
Jeder verwegene Geek kann die schlechte API-Authentifizierung umgehen
Ein Merkmal vieler Datenlecks, Sicherheitsverletzungen und Sicherheitsvorfälle ist, dass sie selten von einem Superhirn ausgeführt werden. Komplexe, heimtückische und schädliche Angriffe, wie wir sie bei SolarWinds gesehen haben, erfordern Teams von cyberkriminellen Genies, um sie auszuführen, und sie sind eher die Ausnahme als die Regel.
Wenn eine API mit schwacher Authentifizierung gebaut wird, ist es ziemlich einfach für sie, ausgenutzt zu werden. Bill Demirkapi, der Sicherheitsforscher, der Experians API-Bug entdeckte, stellte fest, dass auf diese ohne jegliche Authentifizierung zugegriffen werden konnte. Durch die Eingabe von 00/00/0000 in das Feld für das Geburtsdatum konnte er auf die Kreditwürdigkeit einer Person zugreifen, indem er nur öffentlich zugängliche Informationen wie den Namen und die dazugehörige Postanschrift verwendete. Dies wurde zwar nicht gemeldet, aber das Potenzial, dass diese Datensätze als kreditbezogener Datendump abgegriffen und kontextualisiert werden (und somit wertvoll sind), ist sicherlich vorhanden.
Saubere und funktionale Authentifizierungsprozesse sollten vorhanden sein, egal wie klein der Anwendungsfall ist; eine Chatterbox-API, die nicht ordnungsgemäß abgesichert ist und potenziell den Zugriff auf mehrere Systeme ermöglicht, ist eine Gefahr.
Broken Authentication ist die Nummer zwei auf der OWASP Top 10 API-Schwachstellenliste. Lesen Sie hier mehr darüber, wie Sie diesen Fehler vermeiden können, und testen Sie Ihre Fähigkeiten auf unserer Plattform, sobald Sie Ihr Gehirn gefüttert haben.
Schlechte API-Sicherheitskontrollen sind ein weit verbreitetes Problem, das einen kulturellen Wandel erfordert
Es ist nicht fair, mit dem Finger nur auf Unternehmen wie Experian zu zeigen, aber der Mangel an Nuancen und Sorgfalt bei der Sicherheitskontrolle, der in dieser speziellen API-Enthüllung gezeigt wurde, lässt nichts Gutes für die vielen Unternehmen da draußen erahnen, die APIs als Teil ihrer IT-Systeme und Endpunkte nutzen.
Generell müssen wir noch viel mehr tun, um API-Schwachstellen nicht nur zu finden und zu beheben, sondern sie als Teil der Angriffsfläche zu verstehen, die wir schützen sollen. Die Sichtbarkeit von APIs - und wie sie erstellt wurden - ist ein großes Anliegen und sollte als Teil der Best Practices für Sicherheit gefordert werden. Selbst ein Unternehmen mit den strengsten Sicherheitsmaßnahmen kann durch eine API, die veröffentlicht wird und außerhalb der Sicherheitskontrollen des Unternehmens arbeitet, in Gefahr geraten. Es ist wichtiger denn je, sich zu fragen, woher eine API kommt, wer sie letztendlich verwaltet (ist es ein Drittanbieter? Wie streng sind seine Sicherheitsmaßnahmen?) und auf welche Informationen sie zugreift.
Injection-Schwachstellen bleiben für jeden CISO ein Dorn im Auge.
API-Sicherheit scheint ein relativ neues Modul zu sein, das in ein Sicherheitsprogramm aufgenommen werden sollte, aber es kann mit einigen (sehr) alten Tricks ausgenutzt werden, die wir von gewöhnlicher Web-Software kennen.
Ein kürzlich bekannt gewordener Angriff auf Accellion zeigte, dass verkettete SQL-Injection- und OS-Befehlsausführungs-Angriffe es den Bedrohungsakteuren ermöglichten, APIs zu manipulieren und eine beträchtliche Menge sensibler Daten zu extrahieren, einschließlich Sozialversicherungsnummern. Es wurde festgestellt, dass die Angreifer umfangreiche Kenntnisse über die FTA-Software von Accellion haben mussten, um den Raub durchzuführen, was durch umfangreiches Reverse Engineering möglich gewesen wäre.
Da der Einbruch im Dezember 2020 und Januar 2021 stattfand, hatten die Diebe genügend Zeit, um Schaden anzurichten. Weitere Entdeckungen im Februar 2021 deckten eine gespeicherte XSS-Schwachstelle auf, wobei die forensische Analyse ergab, dass nur ein API-Endpunkt mit nicht ordnungsgemäß bereinigten Benutzereingaben es ermöglichte, ein Argument beim Aufruf des Skripts admin.pl zu injizieren.
Bei über 3000 Kunden, darunter viele renommierte Bildungseinrichtungen, könnte dieser Verstoß weitreichende Folgen haben. Leider wurden diese Angriffe durch die Ausnutzung allgemeiner Schwachstellen ermöglicht, von denen viele von sicherheitsbewussten Entwicklern bereits auf Code-Ebene und vor der Produktion hätten behoben werden können. Wie wir immer wieder sehen, braucht es nur ein kleines offen gelassenes Fenster, um große Probleme zu verursachen. Und eine Kultur der von Menschen geführten Cyber-Verteidigung muss Teil der Strategie sein, um ein sehr menschliches Problem zu lösen.
Möchten Sie jetzt Ihre API-Sicherheitskenntnisse testen in Java Spring API, Kotlin Spring API, C# (.NET) Web API und mehr? Probieren Sie einige API-Herausforderungen auf unserer Learning Platform aus (prüfen Sie alle Sprachen:Frameworks über das Dropdown):
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.