记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华德国购物应用 OTTO 率先使用谷歌 Android 14 原生“截屏检测”API:权限更分明、安全性更高
IT之家 11 月 29 日消息,谷歌在 Android 14 中引入了一项名为“ DETECT_SCREEN_CAPTURE”的原生截屏检测 API,目前一款名为 OTTO 的德国购物 App 已经率先用上了相关 API。▲ 图源 外媒 Adnroid Police据悉,当用户在 OTTO 应用程序中截屏时,应用左下角会显示一条截屏消息,通知应用已经检测到了用户的截屏行为,用户还可以通过内置的快捷功能分享、或对截图进行涂鸦等操作。
CISO在2024年应该优先考虑7项安全任务
首席信息安全官(CISO)是企业中负责制定组织信息安全战略并落实的高级管理人员,在保护组织有价值的信息资产方面发挥着至关重要的作用。但是在实际工作中,很多CISO却被称为“救火队员”,他们花费了大量的时间去响应和处置各种突发的安全事件,而不能从一开始就专注于积极预防这些事件的发生。在此背景下,专业安全媒体CyberTalk.org主编Shira Landau日前表示:现代企业的CISO们在2024年必须做出改变,要更多关注于企业整体安全路线图的推进与实现,让网络安全工作与业务发展目标保持更紧密的一致性。
API是数据泄露的隐性原因
发表于 在数据泄露上,用户对API漏洞以及API安全事件可能产生的影响常常缺乏了解,因为API通常不是用户最终直接交互的技术,并且会在某种程度上隐藏起来,用户看不到它们的日常活动。对于许多数据泄露来说,薄弱环节往往是API和围绕这些API的不适当的安全机制。API组件通常出现在攻击的第二阶段比如说,最近的MoveIT黑客活动在攻击的第二阶段有一个API组件,涉及对MoveIT API的反序列化滥用。这导致成千上万家公司被入侵,但API几乎只字未提,只以为SQL注入是导致数据泄露的主要原因。
支持对协议和会话分享动作进行授权,新增API Key白名单功能,JumpServer堡垒机v3.9.0发布
2023年11月20日,JumpServer开源堡垒机正式发布v3.9.0版本。在这一版本中,JumpServer对授权功能进行了优化,增加了对“会话分享”及“资产协议”的配置,方便管理员以更细的颗粒度对各种资源进行控制;针对使用API Key与JumpServer进行交互的行为,新版本的JumpServer增加了API Key白名单功能,用于拦截非法IP,提高了系统的安全性;针对使用SSH命令行方式连接资产的用户,用户可以在首次连接会话时看到管理员配置的公告信息。
发布时间:2023-11-20 12:58 |
阅读:40449 | 评论:0 |
标签:API
如何在零信任世界中实现API安全性?
随着传统网络边界的不断变化,零信任架构(Zero Trust architecture, ZTA)已经从一个讨论话题,转变为许多企业组织积极推进采用的切实计划。然而,在许多企业所制定的ZTA应用计划中,在设计持续评估信任的方法时,往往会忽略对API安全性的关注。日前,云安全厂商Akamai的安全专家Abigail Ojeda发表了一篇博客文章,从实现零信任架构的7个基本原则视角,对如何将零信任与API安全性有效融合进行了分析和思考,并就企业如何开展API安全能力建设提出了具体建议。
史上最大应用层DDoS攻击: H2 Rapid Reset攻击研究
前言2023年10月Cloudflare、Google、AWS等厂商公布了一种利用HTTP/2快速重置进行应用层DDoS攻击的0day漏洞(CVE-2023-44487)[1][2],即H2 Rapid Reset DDoS。Google宣传其监控到此种攻击峰值超过每秒3.98亿个请求,打破互联网历史最大应用层DDoS攻击记录[3]。而本文中火山引擎网络安全团队将对H2 Rapid Reset DDoS进行深入的研究分析,并介绍火山引擎对这种新型攻击手法的防护效果。
数字化加速API蔓延 WAAP势不可挡
发表于 点击上方蓝色字体,关注我们/ 技术交流群 /添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车?
发布时间:2023-11-11 22:51 |
阅读:100360 | 评论:0 |
标签:API
一次通过Fuzz API发现漏洞的旅程
发表于 以下文章来源于骨哥说事 ,作者骨哥说事 骨哥说事 . 关注信息安全趋势,发布国内外网络安全事件,不定期发布对热点事件的个人见解。 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。背景介绍由于漏洞披露原因,暂将目标网站称为“target.com”。
安全厂商发生数据泄漏,客户连夜更换 API 密钥
Sumo Logic建议客户也更换其服务访问凭证,包括与Sumo Logic共享的用于访问其他系统的任何凭证。
近日,安全和数据分析公司Sumo Logic确认发生了数据泄漏事件,在公告中Sumo Logic声称在11月3日发现有攻击者使用泄漏的凭证访问了Sumo Logic的AWS账户。
Sumo Logic运营着一个云原生的SaaS分析平台,为客户提供日志分析、基础设施监控、云基础设施安全服务等。Somo Logic的客户群中不乏大量知名科技品牌,例如三星、Okta、SAP、F5、Airbnb、SEGA、23andme、丰田等。
通过分析JS源代码发现api漏洞
发表于 #api 27 个 #未授权 4 个 #漏洞挖掘 275 个 #bug bounty 438 个 通过分析JS源代码发现api漏洞正文目标为target.com,范围为*.target.com,信息搜集之后,发现前端为react,发现了一个文件夹名字叫web-app,其中包含了前端的源代码!使用了一个chrome插件来下载源代码(见文末),然后进行代码审计首先在 JS 文件中寻找 api 接口,找到了一个名为 api 的文件夹,里面包含了大量api接口的文件将找到的所有api接口保存在一个excel表格中,并开始逐一分析/测试它们,了解它们在应用程序中的作用。
谷歌推出 Android WebView Media Integrity API,旨在改善 App 内嵌影音内容“安全性”
IT之家 11 月 6 日消息,今年 5 月时,谷歌在开发者邮件列表中宣布了 Web Environment Integrity API,该 API 允许网站确认访客的软硬件是否“符合特定标准”,号称可以为网站内嵌入的媒体内容带来更高的安全性及隐私性。但许多人认为 Web Environment Integrity API 在功能上类似于 DRM(数字版权管理),将会对对网站使用体验造成影响,因此这项 API 提案最终招致了社区广泛的批评。
漏洞利用 Kubernetes ingress-nginx <1.9.0 - API 命令注入
最近,Kubernetes 的入口 nginx 控制器中发布了几个新的 CVE。我想我应该仔细研究其中一个 CVE-2023-5044。虽然CVE 公告中有一些详细信息,并且 CVE 记者的帖子中有一些提示,但我找不到任何实际的 PoC,所以我决定看看是否可以写一个!测试环境设置通常情况下,设置测试环境的最简单方法是使用KinD。他们有一个页面,其中包含入口设置的说明,效果很好。一旦我们使用提供的示例应用程序进行了入口设置http://localhost/foo,http://localhost/bar就会命中由入口控制器管理的路径。
Yakit+Melto实现API安全扫描
踩了不少坑,写个文档记录下。如果要复制底代码请访问飞书链接:https://c6k50tuyg6.feishu.cn/wiki/D2XEwjOb3iZzaKkMOvgcBFudnNb?from=from_copylinkMelto介绍以及安装部署https://github.com/metlo-labs/metlo/官方介绍:Metlo 是一款开源 API 安全工具,只需不到 15 分钟即可完成设置,它可以管理API、检测危险行为并实时阻止恶意流量。实时检测 API 攻击。自动阻止恶意行为者。创建 API 端点和敏感数据清单。在投入生产环境前主动测试 API。
增强API安全,打击汽车黑客
发表于 点击上方蓝色字体,关注我们/ 技术交流群 /添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车?
如何识别和阻止可疑的API流量?
API流量指使用API在不同应用程序或系统之间传输的数据和请求,可以帮助不同的软件应用进行联系并交换数据,从而实现应用系统之间的有效集成和交互。相比传统的Web应用程序,API会产生更多的数据流量和调用需求,而其中也难免会出现一些恶意或错误的请求,由于这些请求往往与海量的合规请求掺杂在一起,因此难以被使用静态安全规则的传统安全方案所检测。随着现代软件开发方式的变化,第三方软件组件暴露出API漏洞的风险不断增加,攻击者也越来越多地瞄准在这些脆弱的API接口。
发布时间:2023-10-16 14:05 |
阅读:97807 | 评论:0 |
标签:API
CVE-2022-4908: SOP bypass in Chrome using Navigation API
Last year, I discovered a Same-Origin Policy (SOP) bypass in Chrome that allowed an attacker to leak the full URLs of another window’s navigation history.去年,我在Chrome中发现了一个同源政策(SOP)绕过,允许攻击者泄露另一个窗口导航历史记录的完整URL。
一图看懂威胁情报云查API接口服务
发表于 网络空间的攻防是一场“非对称”的战争。高级持续性威胁攻击层出不穷,黑灰产、薅羊毛等恶意活动也对企业互联网业务带来诸多危害。攻击者因为拥有较长的准备时间、丰富的攻击工具和较低的攻击成本,而传统的安全防护更多只能依赖边界或特殊节点部署,像防火墙等安全设备的静态防御,特征检测为主的安全监控,规则匹配产生的告警。面对各类新型威胁和业务风控挑战,传统的安全防御方式显得愈发捉襟见肘。
2023年API安全技术发展的6个“大事件”
API技术逐渐成了现代数字业务环境的基础组成,也是企业数字化转型发展战略实现的核心要素,几乎所有的企业都依赖API进行服务连接、数据传输和系统控制。然而,API的爆炸式应用也为攻击者提供了更多的方法,而现有的安全工具却难以检测和减轻特定于API的威胁,使组织容易受到妥协、滥用和欺诈的影响。据网络安全厂商Traceable AI最新发布的报告数据显示,在过去两年中,由API引发的网络攻击面正在持续增加,60%的受访企业发生过与API相关的安全事件,其中74%的组织存在三次或以上的安全事件。
上下文 API 安全 - 保护车队基础设施和数据
发表于 点击上方蓝色字体,关注我们/ 技术交流群 /添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车?
2023年API状态报告:74%的企业遭遇多次攻击
根据Traceable近日发布的《2023年API安全状况报告》,过去两年74%的企业都遭遇了至少三次API攻击相关的数据泄露事件。
该报告与PonemonInstitute合作,调查了美国、英国和欧盟1629名网络安全专家,对全球API安全状况提供了全面视角。
调查结果显示,近年来与API相关的数据泄露事件剧增。在过去两年中,60%的受访组织报告了至少一次数据泄露事件,其中74%的组织经历了三起或更多事件。DDoS是主要API攻击方式,占所有攻击的38%。58%的受访者表示,攻击者将DDoS与其他攻击媒介相结合,显著扩大了企业的潜在攻击面。
该研究还凸显了人们对API安全性缺乏理解和信心。
暴力破解攻击占所有攻击的51%!如何保护API免遭暴力破解攻击?
暴力破解攻击是最常见的攻击类型之一。在2022年第一季度,暴力破解攻击占所有攻击的51%!这些攻击通常为其他类型的威胁铺平道路,并对组织造成毁灭性的后果。API上的暴力破解攻击问题更为严重,因为API以编程方式公开数据、功能和业务逻辑。组织需要立即采取行动阻止这些攻击,以保护数字资产免受攻击者的侵害。什么是暴力破解攻击? 暴力破解攻击(Brute force attack)是常见、简单且易于编排的凭据破解/密码猜测攻击类型。在这些攻击中,威胁参与者使用试错法来解码密码、登录凭据、API密钥、SSH登录、加密密钥、隐藏的网页和内容。
企业中的API安全治理如何落地实践?如何防护让域控DC更加安全?|总第204周
发表于 ##企业安全建设实践 151 个 #群周报 86 个 #网络安全 136 个 #信息安全 107 个 0x1本周话题TOP2话题1:企业中的API安全治理如何落地实践,包括API资产的梳理(增量,存量),包括其他的一些风险和异常监控,以及验签,脱敏等等。A1:可以利用出口镜像流量,部署api监测系统。A2:目前探针、镜像流量和代理应用三种方式都有商业化的产品和方案,还有类似rasp的产品应该也可以实现。Q1:探针的这个具体的实现方式是什么?类似IAST那种吗?agent的形式,感觉还是对业务有影响的。A3:嗯嗯,最简单的是流量分析,探针和代理业务量大推动难度大,但效果会好一些。
API安全品牌中国唯一!威胁猎人连续入选Gartner全球及中国API安全代表厂商
2023年7月,威胁猎人连续入选Gartner《2023API成熟度曲线》、《2023应用安全成熟度曲线》“API威胁防护”代表厂商,并成为国内唯一入选的API安全品牌。继入选Gartner两大面向全球市场的成熟度曲线报告后,在Gartner近期发布的《中国API管理市场指南》中,威胁猎人再次入选为“中国API解决方案”代表厂商。“情报驱动”的API安全技术及创新方案,成为威胁猎人在全球及中国API市场获得权威机构认可的重要原因。
Magic In Java API 学习记录
前言这篇文章主要是对yemoli和R1ckyZ在KCON2023中的议题《Magic In Java API》的一次学习记录对应的slide可以在https://github.com/knownsec/KCon/tree/master/2023中获取概述?
API 攻击与防御
发表于 以下文章来源于骨哥说事 ,作者骨哥说事 骨哥说事 . 关注信息安全趋势,发布国内外网络安全事件,不定期发布对热点事件的个人见解。 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。文章首发于个人博客:https://mybeibei.net,点击最下方“阅读原文”可直接跳转查看。
谨防LaZagne对D-Bus API的攻击
攻击者已经增加了对Linux系统的目标攻击,并且像LaZagne(一种流行的开源密码恢复工具)这样的hacktool实用程序的易于访问性使得攻击者在恶意软件攻击链中使用它来转储密码变得越来越方便。该工具对Linux用户构成了重大风险,因为它针对的是Pidgin等流行聊天软件,使用D-Bus API提取包括密码在内的敏感信息。D-BUS是一个提供简单的应用程序互相通讯的途径的自由软件项目,它是做为freedesktoporg项目的一部分来开发的。本文会介绍LaZagne如何利用Pidgin D-Bus API来获取这些信息,以及为什么密切关注D-Bus API是一种明智的安全举措。
GraphQL中api漏洞
发表于 #漏洞挖掘 246 个 #bug bounty 411 个 #赏金猎人 170 个 #GraphQL 5 个 #IDOR 31 个 正文通常graphql接口位于类似 www.example.com/graphql 的地方这里的
2023年API安全六大威胁和五个最佳实践
API(应用程序编程接口)在现代软件开发中占据着重要地位。API推动了应用程序、容器和微服务之间的数据和信息交换,彻底改变了Web应用的工作方式,催生了大量数字商业模式,因此API也被喻为数字经济的“交换机”。尽管API有无数的好处,但黑客也可以利用API中的漏洞未经授权访问敏感数据和隐私数据,从而导致数据泄露、财务损失和声誉受损。因此,企业需要了解API安全威胁形势,并寻找缓解威胁的最佳方法。API攻击暴增400%API支持应用程序和系统之间的数据交换,能够无缝执行复杂任务,但随着API平均数量的增加,组织往往会忽视它们的漏洞,从而成为黑客的主要目标。
《Magic In Java API》PPT分享
8月19日,第12届KCon大会举办,伽玛实验室研究员yemoli与大家分享了一个《Magic In Java API》的主题演讲,主要探讨了PrintServiceLookup接口在Linux系统下JDK的一个有趣的特性。这个接口的实现类在类加载时会启动一个新线程,并调用Runtime.getRuntime().exec(cmd)方法来执行一条命令。我们通过深入研究发现,如果能够在某些特定的场景下篡改cmd的值,就有可能造成任意命令执行的漏洞。在议题中我们分享了诸多对该问题造成安全影响的案例;同时也分享了一些基于这个接口特性的RASP攻防小技巧,让大家能够更好地理解和防范这类问题。
如何使用Mantra在JS文件或Web页面中搜索泄漏的API密钥
关于Mantra Mantra是一款功能强大的API密钥扫描与提取工具,该工具基于Go语言开发,其主要目标就是帮助广大研究人员在JavaScript文件或HTML页面中搜索泄漏的API密钥。Mantra可以通过检查网页和脚本文件的源代码来查找与API密钥相同或相似的字符串。这些密钥通常用于对第三方API等在线服务进行身份验证,而且这些密钥属于机密/高度敏感信息,不应公开共享。通过使用此工具,开发人员可以快速识别API密钥是否泄漏,并在泄漏之前采取措施解决问题。
发布时间:2023-08-21 16:59 |
阅读:199051 | 评论:0 |
标签:API
黑帝公告 📢
❤十年经营、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤
客黑业创的万千入年个一
❤用费0款退球星,年1期效有员会
🧠富财控掌,知认升提,长成起一💡