泄露的API有可能使公司的声誉化为乌有
通常,在生活中,沟通是一件好事。要理解、学习新知识或建立关系,没有比这更快的方法了。在软件领域,API起着通信的作用,允许应用程序相互通信,从而增强功能和可用性。这种连接通常会带来更丰富的体验,最终用户喜欢,并且在日常生活中对软件的期望也越来越高。
但是,就像在现实生活中一样,当他们说话太多时,这是一个大问题。益百利最近艰难地发现了这一点,当时他们的一款API——由第三方合作伙伴使用—— 可能泄露 ... 好吧,几乎每个美国公民的信用评分。
这个问题很快就被修补了,但是这个漏洞是否真的被阻止了,仍然存在疑问。如果一家供应商受到影响,那么其他供应商很可能也受到影响,而且有可能是 系统性错误,影响任何使用该不安全 API 的人。
API 安全性是大多数安全专家心目中不远的问题,也是我们需要掌握应对的知识。
任何勇敢的极客都可以绕过糟糕的 API 身份验证
许多数据泄露、泄露和安全事件的一个特点是,它们很少需要策划者才能实现。就像我们在SolarWinds中看到的那样,复杂、阴险、破坏性的攻击需要网络犯罪天才团队来实施,它们是例外而不是常规。
当使用弱身份验证构建 API 时,它们很容易被利用。发现益百利API漏洞的安全研究人员比尔·德米尔卡皮确定无需任何身份验证即可访问该漏洞。在 “出生日期” 字段中输入 00/00/0000 可让他仅使用姓名和相关邮寄地址等公开信息,获得个人的信用评分。尽管尚未对此进行报道,但这些记录确实有可能被抓取并归纳为与信贷相关的数据转储库(因此很有价值)。
无论用例多小,都应采用干净实用的身份验证流程;没有适当保护并有可能开放多个系统的访问权限的聊天框API是一种负担。
失效的身份验证是第二位 OWASP 排名前 10 的 API 漏洞列表。 在这里阅读更多 介绍如何避免这个错误,并在你完成大脑喂养后在我们的平台上测试你的技能。
API 安全控制不力是一个普遍存在的问题,需要进行文化变革
仅指责益百利这样的组织是不公平的,但是对于许多将API作为其IT系统和端点一部分的公司而言,这种特殊的API暴露中表现出的缺乏细微差别和安全控制调查并不是一个好兆头。
总的来说,我们还有很多工作要做,不仅要发现和修复 API 漏洞,还要将其理解为我们应该保护的攻击面的一部分。API 的可见性——以及它们的构建方式——是一个非常令人担忧的问题,也是安全最佳实践的一部分。即使是采用最严格安全措施的组织,也可能会发现自己被在公司安全控制之外发布和运行的 API 所抵消。询问 API 来自哪里,最终由谁维护(是第三方供应商吗?)比以往任何时候都更加重要他们的安全性有多严格?),以及它正在访问什么信息。
注入漏洞仍然是每个 CISO 的灵药。
API 安全可能看起来像是一个相当新的模块,可以包含在安全程序中,但它可能会被我们在普通的旧网络软件中看到的一些(非常)旧技巧所利用。
一个 最近披露了对 Accellion 的攻击 透露,连锁的SQL注入和操作系统命令执行攻击允许威胁行为者操纵API,提取大量敏感数据,包括社会安全号码。他们确定,攻击者必须对Accellion的FTA软件有广泛的了解才能进行抢劫,而这本来可以通过大量的逆向工程来实现。
由于漏洞发生在2020年12月和2021年1月,盗贼有足够的时间造成损失。2021 年 2 月的进一步发现发现了一个存储的 XSS 漏洞,取证分析发现,只有一个 API 端点未正确清理用户输入,使得在调用时注入参数成为可能 admin.pl 脚本。
该漏洞拥有3000多名客户,包括许多著名的教育机构,可能影响深远。不幸的是,这些漏洞是通过利用常见漏洞实现的,其中许多漏洞本可以由具有安全意识的开发人员在预生产阶段的代码级别上解决。正如我们一次又一次地看到的那样,只需要打开一个小窗口就能产生大问题。而且,以人为主导的网络防御文化需要成为解决一个非常人性化的问题的战略的一部分。
现在想测试你的 API 安全技能 Java Spring API, Kotlin Spring API, C# (.NET) Web API 还有更多?在我们的学习平台上尝试一些 API 挑战(通过下拉菜单查看所有语言:框架):
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
通常,在生活中,沟通是一件好事。要理解、学习新知识或建立关系,没有比这更快的方法了。在软件领域,API起着通信的作用,允许应用程序相互通信,从而增强功能和可用性。这种连接通常会带来更丰富的体验,最终用户喜欢,并且在日常生活中对软件的期望也越来越高。
但是,就像在现实生活中一样,当他们说话太多时,这是一个大问题。益百利最近艰难地发现了这一点,当时他们的一款API——由第三方合作伙伴使用—— 可能泄露 ... 好吧,几乎每个美国公民的信用评分。
这个问题很快就被修补了,但是这个漏洞是否真的被阻止了,仍然存在疑问。如果一家供应商受到影响,那么其他供应商很可能也受到影响,而且有可能是 系统性错误,影响任何使用该不安全 API 的人。
API 安全性是大多数安全专家心目中不远的问题,也是我们需要掌握应对的知识。
任何勇敢的极客都可以绕过糟糕的 API 身份验证
许多数据泄露、泄露和安全事件的一个特点是,它们很少需要策划者才能实现。就像我们在SolarWinds中看到的那样,复杂、阴险、破坏性的攻击需要网络犯罪天才团队来实施,它们是例外而不是常规。
当使用弱身份验证构建 API 时,它们很容易被利用。发现益百利API漏洞的安全研究人员比尔·德米尔卡皮确定无需任何身份验证即可访问该漏洞。在 “出生日期” 字段中输入 00/00/0000 可让他仅使用姓名和相关邮寄地址等公开信息,获得个人的信用评分。尽管尚未对此进行报道,但这些记录确实有可能被抓取并归纳为与信贷相关的数据转储库(因此很有价值)。
无论用例多小,都应采用干净实用的身份验证流程;没有适当保护并有可能开放多个系统的访问权限的聊天框API是一种负担。
失效的身份验证是第二位 OWASP 排名前 10 的 API 漏洞列表。 在这里阅读更多 介绍如何避免这个错误,并在你完成大脑喂养后在我们的平台上测试你的技能。
API 安全控制不力是一个普遍存在的问题,需要进行文化变革
仅指责益百利这样的组织是不公平的,但是对于许多将API作为其IT系统和端点一部分的公司而言,这种特殊的API暴露中表现出的缺乏细微差别和安全控制调查并不是一个好兆头。
总的来说,我们还有很多工作要做,不仅要发现和修复 API 漏洞,还要将其理解为我们应该保护的攻击面的一部分。API 的可见性——以及它们的构建方式——是一个非常令人担忧的问题,也是安全最佳实践的一部分。即使是采用最严格安全措施的组织,也可能会发现自己被在公司安全控制之外发布和运行的 API 所抵消。询问 API 来自哪里,最终由谁维护(是第三方供应商吗?)比以往任何时候都更加重要他们的安全性有多严格?),以及它正在访问什么信息。
注入漏洞仍然是每个 CISO 的灵药。
API 安全可能看起来像是一个相当新的模块,可以包含在安全程序中,但它可能会被我们在普通的旧网络软件中看到的一些(非常)旧技巧所利用。
一个 最近披露了对 Accellion 的攻击 透露,连锁的SQL注入和操作系统命令执行攻击允许威胁行为者操纵API,提取大量敏感数据,包括社会安全号码。他们确定,攻击者必须对Accellion的FTA软件有广泛的了解才能进行抢劫,而这本来可以通过大量的逆向工程来实现。
由于漏洞发生在2020年12月和2021年1月,盗贼有足够的时间造成损失。2021 年 2 月的进一步发现发现了一个存储的 XSS 漏洞,取证分析发现,只有一个 API 端点未正确清理用户输入,使得在调用时注入参数成为可能 admin.pl 脚本。
该漏洞拥有3000多名客户,包括许多著名的教育机构,可能影响深远。不幸的是,这些漏洞是通过利用常见漏洞实现的,其中许多漏洞本可以由具有安全意识的开发人员在预生产阶段的代码级别上解决。正如我们一次又一次地看到的那样,只需要打开一个小窗口就能产生大问题。而且,以人为主导的网络防御文化需要成为解决一个非常人性化的问题的战略的一部分。
现在想测试你的 API 安全技能 Java Spring API, Kotlin Spring API, C# (.NET) Web API 还有更多?在我们的学习平台上尝试一些 API 挑战(通过下拉菜单查看所有语言:框架):
通常,在生活中,沟通是一件好事。要理解、学习新知识或建立关系,没有比这更快的方法了。在软件领域,API起着通信的作用,允许应用程序相互通信,从而增强功能和可用性。这种连接通常会带来更丰富的体验,最终用户喜欢,并且在日常生活中对软件的期望也越来越高。
但是,就像在现实生活中一样,当他们说话太多时,这是一个大问题。益百利最近艰难地发现了这一点,当时他们的一款API——由第三方合作伙伴使用—— 可能泄露 ... 好吧,几乎每个美国公民的信用评分。
这个问题很快就被修补了,但是这个漏洞是否真的被阻止了,仍然存在疑问。如果一家供应商受到影响,那么其他供应商很可能也受到影响,而且有可能是 系统性错误,影响任何使用该不安全 API 的人。
API 安全性是大多数安全专家心目中不远的问题,也是我们需要掌握应对的知识。
任何勇敢的极客都可以绕过糟糕的 API 身份验证
许多数据泄露、泄露和安全事件的一个特点是,它们很少需要策划者才能实现。就像我们在SolarWinds中看到的那样,复杂、阴险、破坏性的攻击需要网络犯罪天才团队来实施,它们是例外而不是常规。
当使用弱身份验证构建 API 时,它们很容易被利用。发现益百利API漏洞的安全研究人员比尔·德米尔卡皮确定无需任何身份验证即可访问该漏洞。在 “出生日期” 字段中输入 00/00/0000 可让他仅使用姓名和相关邮寄地址等公开信息,获得个人的信用评分。尽管尚未对此进行报道,但这些记录确实有可能被抓取并归纳为与信贷相关的数据转储库(因此很有价值)。
无论用例多小,都应采用干净实用的身份验证流程;没有适当保护并有可能开放多个系统的访问权限的聊天框API是一种负担。
失效的身份验证是第二位 OWASP 排名前 10 的 API 漏洞列表。 在这里阅读更多 介绍如何避免这个错误,并在你完成大脑喂养后在我们的平台上测试你的技能。
API 安全控制不力是一个普遍存在的问题,需要进行文化变革
仅指责益百利这样的组织是不公平的,但是对于许多将API作为其IT系统和端点一部分的公司而言,这种特殊的API暴露中表现出的缺乏细微差别和安全控制调查并不是一个好兆头。
总的来说,我们还有很多工作要做,不仅要发现和修复 API 漏洞,还要将其理解为我们应该保护的攻击面的一部分。API 的可见性——以及它们的构建方式——是一个非常令人担忧的问题,也是安全最佳实践的一部分。即使是采用最严格安全措施的组织,也可能会发现自己被在公司安全控制之外发布和运行的 API 所抵消。询问 API 来自哪里,最终由谁维护(是第三方供应商吗?)比以往任何时候都更加重要他们的安全性有多严格?),以及它正在访问什么信息。
注入漏洞仍然是每个 CISO 的灵药。
API 安全可能看起来像是一个相当新的模块,可以包含在安全程序中,但它可能会被我们在普通的旧网络软件中看到的一些(非常)旧技巧所利用。
一个 最近披露了对 Accellion 的攻击 透露,连锁的SQL注入和操作系统命令执行攻击允许威胁行为者操纵API,提取大量敏感数据,包括社会安全号码。他们确定,攻击者必须对Accellion的FTA软件有广泛的了解才能进行抢劫,而这本来可以通过大量的逆向工程来实现。
由于漏洞发生在2020年12月和2021年1月,盗贼有足够的时间造成损失。2021 年 2 月的进一步发现发现了一个存储的 XSS 漏洞,取证分析发现,只有一个 API 端点未正确清理用户输入,使得在调用时注入参数成为可能 admin.pl 脚本。
该漏洞拥有3000多名客户,包括许多著名的教育机构,可能影响深远。不幸的是,这些漏洞是通过利用常见漏洞实现的,其中许多漏洞本可以由具有安全意识的开发人员在预生产阶段的代码级别上解决。正如我们一次又一次地看到的那样,只需要打开一个小窗口就能产生大问题。而且,以人为主导的网络防御文化需要成为解决一个非常人性化的问题的战略的一部分。
现在想测试你的 API 安全技能 Java Spring API, Kotlin Spring API, C# (.NET) Web API 还有更多?在我们的学习平台上尝试一些 API 挑战(通过下拉菜单查看所有语言:框架):
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
通常,在生活中,沟通是一件好事。要理解、学习新知识或建立关系,没有比这更快的方法了。在软件领域,API起着通信的作用,允许应用程序相互通信,从而增强功能和可用性。这种连接通常会带来更丰富的体验,最终用户喜欢,并且在日常生活中对软件的期望也越来越高。
但是,就像在现实生活中一样,当他们说话太多时,这是一个大问题。益百利最近艰难地发现了这一点,当时他们的一款API——由第三方合作伙伴使用—— 可能泄露 ... 好吧,几乎每个美国公民的信用评分。
这个问题很快就被修补了,但是这个漏洞是否真的被阻止了,仍然存在疑问。如果一家供应商受到影响,那么其他供应商很可能也受到影响,而且有可能是 系统性错误,影响任何使用该不安全 API 的人。
API 安全性是大多数安全专家心目中不远的问题,也是我们需要掌握应对的知识。
任何勇敢的极客都可以绕过糟糕的 API 身份验证
许多数据泄露、泄露和安全事件的一个特点是,它们很少需要策划者才能实现。就像我们在SolarWinds中看到的那样,复杂、阴险、破坏性的攻击需要网络犯罪天才团队来实施,它们是例外而不是常规。
当使用弱身份验证构建 API 时,它们很容易被利用。发现益百利API漏洞的安全研究人员比尔·德米尔卡皮确定无需任何身份验证即可访问该漏洞。在 “出生日期” 字段中输入 00/00/0000 可让他仅使用姓名和相关邮寄地址等公开信息,获得个人的信用评分。尽管尚未对此进行报道,但这些记录确实有可能被抓取并归纳为与信贷相关的数据转储库(因此很有价值)。
无论用例多小,都应采用干净实用的身份验证流程;没有适当保护并有可能开放多个系统的访问权限的聊天框API是一种负担。
失效的身份验证是第二位 OWASP 排名前 10 的 API 漏洞列表。 在这里阅读更多 介绍如何避免这个错误,并在你完成大脑喂养后在我们的平台上测试你的技能。
API 安全控制不力是一个普遍存在的问题,需要进行文化变革
仅指责益百利这样的组织是不公平的,但是对于许多将API作为其IT系统和端点一部分的公司而言,这种特殊的API暴露中表现出的缺乏细微差别和安全控制调查并不是一个好兆头。
总的来说,我们还有很多工作要做,不仅要发现和修复 API 漏洞,还要将其理解为我们应该保护的攻击面的一部分。API 的可见性——以及它们的构建方式——是一个非常令人担忧的问题,也是安全最佳实践的一部分。即使是采用最严格安全措施的组织,也可能会发现自己被在公司安全控制之外发布和运行的 API 所抵消。询问 API 来自哪里,最终由谁维护(是第三方供应商吗?)比以往任何时候都更加重要他们的安全性有多严格?),以及它正在访问什么信息。
注入漏洞仍然是每个 CISO 的灵药。
API 安全可能看起来像是一个相当新的模块,可以包含在安全程序中,但它可能会被我们在普通的旧网络软件中看到的一些(非常)旧技巧所利用。
一个 最近披露了对 Accellion 的攻击 透露,连锁的SQL注入和操作系统命令执行攻击允许威胁行为者操纵API,提取大量敏感数据,包括社会安全号码。他们确定,攻击者必须对Accellion的FTA软件有广泛的了解才能进行抢劫,而这本来可以通过大量的逆向工程来实现。
由于漏洞发生在2020年12月和2021年1月,盗贼有足够的时间造成损失。2021 年 2 月的进一步发现发现了一个存储的 XSS 漏洞,取证分析发现,只有一个 API 端点未正确清理用户输入,使得在调用时注入参数成为可能 admin.pl 脚本。
该漏洞拥有3000多名客户,包括许多著名的教育机构,可能影响深远。不幸的是,这些漏洞是通过利用常见漏洞实现的,其中许多漏洞本可以由具有安全意识的开发人员在预生产阶段的代码级别上解决。正如我们一次又一次地看到的那样,只需要打开一个小窗口就能产生大问题。而且,以人为主导的网络防御文化需要成为解决一个非常人性化的问题的战略的一部分。
现在想测试你的 API 安全技能 Java Spring API, Kotlin Spring API, C# (.NET) Web API 还有更多?在我们的学习平台上尝试一些 API 挑战(通过下拉菜单查看所有语言:框架):
Verzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
