程序员征服安全 OWASP 十大 API 系列-资产管理不当
与OWASP API前十名中的大多数漏洞不同,不当的资产管理并不专门以编码缺陷为中心。相反,这个漏洞更像是人为问题或管理问题,它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。如果仍在开发中的 API 在完全抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,该漏洞尤其难以管理。在这种环境中,新服务可能会迅速启动以满足临时需求,然后被遗忘并且永远不会停用。如果将较旧的 API 与生产环境保持连接,则可能会危及整个网络。
想尝试游戏化挑战这个安全漏洞吗?走进我们的竞技场: [从这里开始]
不当的资产管理漏洞如何影响 API?
不当的资产管理漏洞是现代的产物。以业务速度发展的组织有时每天可以启动成百上千的服务和微服务。这通常可以快速完成,无需创建任何附带文档,也无需解释相关 API 的用途、需要多长时间或其重要性。这会迅速产生 API 蔓延,随着时间的推移可能会变得无法控制,尤其是在没有一揽子政策来定义 API 可以存在多长时间的情况下。
在这种环境中,某些 API 很可能会丢失、被遗忘或从未停用。
有权在正常流程之外创建新服务的用户有时也是罪魁祸首。例如,营销小组可能会创建一项服务来帮助支持即将举行的活动,例如产品发布会,然后再也不会在活动结束后将其撤回。稍后查看该服务及其关联API的人可能不知道它们为什么存在,如果没有文档,它可能仍然是个谜。他们可能不愿意将这些 API 从生产环境中移除,甚至将其升级到新版本,因为他们不知道它们有多重要,也不知道它们在做什么。
该漏洞变得危险,因为框架中 API 的安全性会随着时间的推移而提高。研究人员可能会发现漏洞,或者可以增加额外的安全措施来阻止越来越流行的攻击。除非升级,否则较旧的API可能仍然容易受到这些攻击,因此黑客通常会搜索它们或使用自动化工具来寻找它们。
在 OWASP 提供的真实示例中,一家公司升级了用于搜索用户数据库的 API,以修补关键缺陷。但是他们错误地将旧的 API 留在原处。
攻击者注意到新 API 的位置类似于 (api.criticalservice.com/v2)。通过将网址替换为(api.criticalservice.com/v1),他们得以改用存在已知漏洞的旧 API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理漏洞
消除环境中不当资产管理漏洞的唯一方法是严格清点所有 API 及其用途和版本。这应该从清点现有 API 开始,重点关注诸如应将它们部署到哪个环境(例如生产或开发)、谁应该有网络访问权限,当然还有它们的版本等因素。
完成后,您需要实现一个流程,将文档自动添加到创建的任何新 API 或服务中。这应包括API的所有方面,包括速率限制、它如何处理请求和响应、资源共享、它可以连接到哪些端点、适用的任何相关政策,以及以后对其进行审计所需的任何其他内容。您还应避免在生产环境中使用非生产 API 或来自开发环境的 API。还可以考虑为API增加时间限制,其所有者必须证明继续使用API的合理性,以防止自动停用。
每当有新版本的活动 API 可用时,都要进行风险评估,以确定是否应该升级,以及该过程应如何进行,以避免中断生产环境。迁移到新 API 后,将旧 API 完全从环境中移除。
所有这些都有助于防止不当的资产管理漏洞损害您的组织、用户或网络。来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
与OWASP API前十名中的大多数漏洞不同,不当的资产管理并不专门以编码缺陷为中心。相反,这个漏洞更像是人为问题或管理问题,它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。如果仍在开发中的 API 在完全抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,该漏洞尤其难以管理。在这种环境中,新服务可能会迅速启动以满足临时需求,然后被遗忘并且永远不会停用。如果将较旧的 API 与生产环境保持连接,则可能会危及整个网络。
想尝试游戏化挑战这个安全漏洞吗?走进我们的竞技场: [从这里开始]
不当的资产管理漏洞如何影响 API?
不当的资产管理漏洞是现代的产物。以业务速度发展的组织有时每天可以启动成百上千的服务和微服务。这通常可以快速完成,无需创建任何附带文档,也无需解释相关 API 的用途、需要多长时间或其重要性。这会迅速产生 API 蔓延,随着时间的推移可能会变得无法控制,尤其是在没有一揽子政策来定义 API 可以存在多长时间的情况下。
在这种环境中,某些 API 很可能会丢失、被遗忘或从未停用。
有权在正常流程之外创建新服务的用户有时也是罪魁祸首。例如,营销小组可能会创建一项服务来帮助支持即将举行的活动,例如产品发布会,然后再也不会在活动结束后将其撤回。稍后查看该服务及其关联API的人可能不知道它们为什么存在,如果没有文档,它可能仍然是个谜。他们可能不愿意将这些 API 从生产环境中移除,甚至将其升级到新版本,因为他们不知道它们有多重要,也不知道它们在做什么。
该漏洞变得危险,因为框架中 API 的安全性会随着时间的推移而提高。研究人员可能会发现漏洞,或者可以增加额外的安全措施来阻止越来越流行的攻击。除非升级,否则较旧的API可能仍然容易受到这些攻击,因此黑客通常会搜索它们或使用自动化工具来寻找它们。
在 OWASP 提供的真实示例中,一家公司升级了用于搜索用户数据库的 API,以修补关键缺陷。但是他们错误地将旧的 API 留在原处。
攻击者注意到新 API 的位置类似于 (api.criticalservice.com/v2)。通过将网址替换为(api.criticalservice.com/v1),他们得以改用存在已知漏洞的旧 API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理漏洞
消除环境中不当资产管理漏洞的唯一方法是严格清点所有 API 及其用途和版本。这应该从清点现有 API 开始,重点关注诸如应将它们部署到哪个环境(例如生产或开发)、谁应该有网络访问权限,当然还有它们的版本等因素。
完成后,您需要实现一个流程,将文档自动添加到创建的任何新 API 或服务中。这应包括API的所有方面,包括速率限制、它如何处理请求和响应、资源共享、它可以连接到哪些端点、适用的任何相关政策,以及以后对其进行审计所需的任何其他内容。您还应避免在生产环境中使用非生产 API 或来自开发环境的 API。还可以考虑为API增加时间限制,其所有者必须证明继续使用API的合理性,以防止自动停用。
每当有新版本的活动 API 可用时,都要进行风险评估,以确定是否应该升级,以及该过程应如何进行,以避免中断生产环境。迁移到新 API 后,将旧 API 完全从环境中移除。
所有这些都有助于防止不当的资产管理漏洞损害您的组织、用户或网络。来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
与OWASP API前十名中的大多数漏洞不同,不当的资产管理并不专门以编码缺陷为中心。相反,这个漏洞更像是人为问题或管理问题,它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。如果仍在开发中的 API 在完全抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,该漏洞尤其难以管理。在这种环境中,新服务可能会迅速启动以满足临时需求,然后被遗忘并且永远不会停用。如果将较旧的 API 与生产环境保持连接,则可能会危及整个网络。
想尝试游戏化挑战这个安全漏洞吗?走进我们的竞技场: [从这里开始]
不当的资产管理漏洞如何影响 API?
不当的资产管理漏洞是现代的产物。以业务速度发展的组织有时每天可以启动成百上千的服务和微服务。这通常可以快速完成,无需创建任何附带文档,也无需解释相关 API 的用途、需要多长时间或其重要性。这会迅速产生 API 蔓延,随着时间的推移可能会变得无法控制,尤其是在没有一揽子政策来定义 API 可以存在多长时间的情况下。
在这种环境中,某些 API 很可能会丢失、被遗忘或从未停用。
有权在正常流程之外创建新服务的用户有时也是罪魁祸首。例如,营销小组可能会创建一项服务来帮助支持即将举行的活动,例如产品发布会,然后再也不会在活动结束后将其撤回。稍后查看该服务及其关联API的人可能不知道它们为什么存在,如果没有文档,它可能仍然是个谜。他们可能不愿意将这些 API 从生产环境中移除,甚至将其升级到新版本,因为他们不知道它们有多重要,也不知道它们在做什么。
该漏洞变得危险,因为框架中 API 的安全性会随着时间的推移而提高。研究人员可能会发现漏洞,或者可以增加额外的安全措施来阻止越来越流行的攻击。除非升级,否则较旧的API可能仍然容易受到这些攻击,因此黑客通常会搜索它们或使用自动化工具来寻找它们。
在 OWASP 提供的真实示例中,一家公司升级了用于搜索用户数据库的 API,以修补关键缺陷。但是他们错误地将旧的 API 留在原处。
攻击者注意到新 API 的位置类似于 (api.criticalservice.com/v2)。通过将网址替换为(api.criticalservice.com/v1),他们得以改用存在已知漏洞的旧 API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理漏洞
消除环境中不当资产管理漏洞的唯一方法是严格清点所有 API 及其用途和版本。这应该从清点现有 API 开始,重点关注诸如应将它们部署到哪个环境(例如生产或开发)、谁应该有网络访问权限,当然还有它们的版本等因素。
完成后,您需要实现一个流程,将文档自动添加到创建的任何新 API 或服务中。这应包括API的所有方面,包括速率限制、它如何处理请求和响应、资源共享、它可以连接到哪些端点、适用的任何相关政策,以及以后对其进行审计所需的任何其他内容。您还应避免在生产环境中使用非生产 API 或来自开发环境的 API。还可以考虑为API增加时间限制,其所有者必须证明继续使用API的合理性,以防止自动停用。
每当有新版本的活动 API 可用时,都要进行风险评估,以确定是否应该升级,以及该过程应如何进行,以避免中断生产环境。迁移到新 API 后,将旧 API 完全从环境中移除。
所有这些都有助于防止不当的资产管理漏洞损害您的组织、用户或网络。来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
与OWASP API前十名中的大多数漏洞不同,不当的资产管理并不专门以编码缺陷为中心。相反,这个漏洞更像是人为问题或管理问题,它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。如果仍在开发中的 API 在完全抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,该漏洞尤其难以管理。在这种环境中,新服务可能会迅速启动以满足临时需求,然后被遗忘并且永远不会停用。如果将较旧的 API 与生产环境保持连接,则可能会危及整个网络。
想尝试游戏化挑战这个安全漏洞吗?走进我们的竞技场: [从这里开始]
不当的资产管理漏洞如何影响 API?
不当的资产管理漏洞是现代的产物。以业务速度发展的组织有时每天可以启动成百上千的服务和微服务。这通常可以快速完成,无需创建任何附带文档,也无需解释相关 API 的用途、需要多长时间或其重要性。这会迅速产生 API 蔓延,随着时间的推移可能会变得无法控制,尤其是在没有一揽子政策来定义 API 可以存在多长时间的情况下。
在这种环境中,某些 API 很可能会丢失、被遗忘或从未停用。
有权在正常流程之外创建新服务的用户有时也是罪魁祸首。例如,营销小组可能会创建一项服务来帮助支持即将举行的活动,例如产品发布会,然后再也不会在活动结束后将其撤回。稍后查看该服务及其关联API的人可能不知道它们为什么存在,如果没有文档,它可能仍然是个谜。他们可能不愿意将这些 API 从生产环境中移除,甚至将其升级到新版本,因为他们不知道它们有多重要,也不知道它们在做什么。
该漏洞变得危险,因为框架中 API 的安全性会随着时间的推移而提高。研究人员可能会发现漏洞,或者可以增加额外的安全措施来阻止越来越流行的攻击。除非升级,否则较旧的API可能仍然容易受到这些攻击,因此黑客通常会搜索它们或使用自动化工具来寻找它们。
在 OWASP 提供的真实示例中,一家公司升级了用于搜索用户数据库的 API,以修补关键缺陷。但是他们错误地将旧的 API 留在原处。
攻击者注意到新 API 的位置类似于 (api.criticalservice.com/v2)。通过将网址替换为(api.criticalservice.com/v1),他们得以改用存在已知漏洞的旧 API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理漏洞
消除环境中不当资产管理漏洞的唯一方法是严格清点所有 API 及其用途和版本。这应该从清点现有 API 开始,重点关注诸如应将它们部署到哪个环境(例如生产或开发)、谁应该有网络访问权限,当然还有它们的版本等因素。
完成后,您需要实现一个流程,将文档自动添加到创建的任何新 API 或服务中。这应包括API的所有方面,包括速率限制、它如何处理请求和响应、资源共享、它可以连接到哪些端点、适用的任何相关政策,以及以后对其进行审计所需的任何其他内容。您还应避免在生产环境中使用非生产 API 或来自开发环境的 API。还可以考虑为API增加时间限制,其所有者必须证明继续使用API的合理性,以防止自动停用。
每当有新版本的活动 API 可用时,都要进行风险评估,以确定是否应该升级,以及该过程应如何进行,以避免中断生产环境。迁移到新 API 后,将旧 API 完全从环境中移除。
所有这些都有助于防止不当的资产管理漏洞损害您的组织、用户或网络。来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
Verzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
