记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

浅谈API安全的应用

  理论基础API它的全称是Application Programming Interface,也叫做应用程序接口,它定义了软件之间的数据交互方式、功能类型。随着互联网的普及和发展,API 从早期的软件内部调用的接口,扩展到互联网上对外提供服务的接口。调用者通过调用 API,可以获取接口提供的各项服务,而无须访问源码,也无须理解内部工作机制的细节。API 它是预先定义的函数,为程序之间的数据交互和功能触发提供服务。调用者只需调用 API,并输入预先约定的参数,即可实现开发者封装好的各种功能,无需访问功能源码或理解功能的具体实现机制。
发布时间:2022-08-15 08:48 | 阅读:27245 | 评论:0 | 标签:安全 API

关于如何Hack apis的总结

前言近日看到国外一篇挺不错的关于API的攻击文章,故消化吸收了一下,站在小白的角度结合一下案例来尝试下关于apis的攻击思路。算是拓展一下攻击面,顺便补缺补漏下吧。本文主要从API的十个风险点来展开叙说,当然不是只有这10处,像常见的注入就不在这叙说,展开能说好多。10年前,网络应用倾向于遵循一种模式,即大部分的应用在呈现给用户之前都是在服务器端生成的。任何需要的数据都是由生成用户界面的同一服务器直接从数据库中收集的。它可能看起来像这样。许多现代网络应用倾向于遵循一种不同的模式,通常被称为SPA(单页应用)。在这种模式下,通常有一个API后端,一个JavaScript用户界面和数据库。
发布时间:2022-08-12 16:52 | 阅读:55444 | 评论:0 | 标签:hack API

【技术分享】Hook_IAT实现调包Win32API函数

说明如何调包Win32API函数?其实就是HookPE文件自己的IAT表。PE文件在加载到内存后,IAT中存储对应函数名(或函数序号)的地址,所以我们只需要把用作替换的函数地址,覆盖掉IAT中对应函数名(或函数序号)的地址,就能实现调包导入模块的函数。(不仅包括Win32API,包括所有通过dll模块导入的函数,在exe中都有一块导入表与之对应)。下面先回顾一下PE文件导入表知识,再操作hook IAT。环境:Win10语言:C编译:VS2019-x861、导入表及IAT大致工作原理这部分涉及到PE文件导入表的知识,所以又回顾了一下PE文件的导入表及IAT大致工作原理。
发布时间:2022-08-10 13:56 | 阅读:32259 | 评论:0 | 标签:API

永安在线发布《API安全建设白皮书》,提出API全生命周期安全防护模型

随着数字化转型加速,越来越多的企业将应用和数据迁移至线上或云端,并暴露核心业务能力和流程相关的API为外部合作伙伴提供服务。脱离了传统的内网或网络区域划分,线上或云上应用的开发和集成、云端管理API,被潜在的商业合作伙伴及攻击者使用,无形中使得API安全风险增大。
发布时间:2022-08-09 13:54 | 阅读:27478 | 评论:0 | 标签:防护 安全 API

API接口是什么?API接口常见的安全问题与安全措施有哪些?

前言:如今具有开放式的业务体系结构将是下一代网络的重要特征之一。其中,关键的技术之一就是网络控制与应用层之间的应用程序接口(API)。面对API接口的安全问题,我们可以采取几种安全措施。近日,网络安全研究人员发现一组异常的移动应用程序,这些应用程序向民众公开了 Twitter API 密钥。据统计,此类应用程序多达3200个。网络安全公司CloudSEK首次发现了这一问题,该公司在检查大型应用程序集合是否存在数据泄漏时,发现了大量应用程序泄露了Twitter API密钥。
发布时间:2022-08-08 17:58 | 阅读:54348 | 评论:0 | 标签:安全 API

应用程序接口(API)数据安全研究报告 2020

点击上方蓝色字体,关注我们/ 技术交流群 /添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自
发布时间:2022-08-07 01:51 | 阅读:80107 | 评论:0 | 标签:数据安全 安全 API

永安在线发布「API安全建设白皮书」,提出API全生命周期安全防护模型

#API安全 12个 由于数字化转型加速,越来越多的企业将应用和数据迁移至线上或云端,并暴露核心业务能力和流程相关的API为外部合作伙伴提供服务。脱离了传统的内网或网络区域划分,线上或云上应用的开发和集成、云端管理API,被潜在的商业合作伙伴及攻击者使用,无形中使得API安全风险增大。API在数字化转型中扮演的角色将愈发重要,通过API来进行数据交换和实现业务逻辑成为最常见的方式。现阶段API应用的增速与API安全发展的不平衡,使得API成为了企业安全建设中最薄弱的环节之一,也因此成为攻击者的重点攻击对象。
发布时间:2022-08-04 14:02 | 阅读:37057 | 评论:0 | 标签:防护 安全 API

数以千计的APP正在泄露Twitter的API密钥

来自印度CloudSEK的安全研究人员表示,他们已经确定共有3207个移动应用程序泄露了有效的Twitter用户密钥和密钥信息。大约230个应用程序被发现泄露了OAuth访问令牌和访问机密。这些信息为攻击者提供了访问用户Twitter帐户并执行各种操作的机会,包括:阅读信息代表用户转发、点赞或删除消息删除关注者或关注新帐户修改账户设置,例如修改头像研究人员将该问题归因于应用程序开发人员在开发过程中将身份验证凭据保存在其移动应用程序中,以便与Twitter的API进行交互。后者为第三方开发人员提供了一种将Twitter的功能和数据嵌入到他们的应用程序中的方法。
发布时间:2022-08-04 13:59 | 阅读:232533 | 评论:0 | 标签:app 泄露 API

3200 App泄露推特API密钥,可实现账户劫持

超过3200个App泄露推特API密钥,可实现账户劫持。网络安全公司CloudSEK研究人员发现有3207个手机APP暴露了推特API密钥,攻击者利用暴露的推特API密钥可以接管与该APP关联的用户推特账户。背景 在开发手机APP过程中,可以将推特功能融入到手机APP中,具体来说,开发者会拥有一个特殊的认证密钥或token,允许手机APP与推特API进行交互。当用户将推特账户与手机APP关联时,该密钥就可以让APP以用户的身份进行操作,比如通过推特登录、创建新推文、发送推文等。有了认证密钥后,任何人都可以以相关的推特用户身份来执行动作,因此不建议将密钥直接保存在手机APP中。
发布时间:2022-08-04 12:01 | 阅读:235683 | 评论:0 | 标签:app 泄露 API

没有零信任,就没有真正的API安全

API安全是当下企业面临的最严峻的网络安全挑战之一。在过去的12个月中,API攻击增加了681%,而整体API流量也增加了321%。根据Salt的2022年第一季度API安全状况报告,恶意API调用从2020年12月的每个客户月均273万次飙升到2021年12月的2132万次。Salt的客户拥有Web应用程序防火墙,并且几乎所有客户都拥有API网关,但API攻击正在绕过这些安全控制。API安全失控API攻击的爆发式增长也扼杀了业务创新。例如,62%的企业承认由于API安全问题推迟了新产品的推出和应用程序的推出。此外,95%的DevOps领导者和团队表示他们在过去12个月中遭遇过API安全事件。
发布时间:2022-08-03 13:56 | 阅读:33868 | 评论:0 | 标签:安全 API

超3200个应用程序泄露了 Twitter API 密钥

近日,网络安全研究人员发现一组异常的移动应用程序,这些应用程序向民众公开了 Twitter API 密钥,据统计,此类应用程序多达 3200 个。网络安全公司 CloudSEK 首次发现了这一问题,该公司在检查大型应用程序集合是否存在数据泄漏时,发现了大量应用程序泄露了 Twitter  API 密钥。据悉,造成这一现象的主要原因是开发者在整合移动应用与 Twitter 时,会得到一个特殊的认证密钥(或称),允许其移动应用与 Twitter  API 交互。
发布时间:2022-08-02 14:45 | 阅读:35315 | 评论:0 | 标签:泄露 API

研究人员发现近 3200 个移动应用程序泄露 Twitter API 密钥

Hackernews 编译,转载请注明出处: 研究人员发现了一份3207个应用程序的列表,其中一些应用程序可以用来获取未经授权的Twitter帐户访问权限。 研究人员说:“在3207个应用程序中,有230个应用程序泄漏了所有四个身份验证凭据,可用于完全接管其Twitter帐户,并执行任何关键/敏感操作。” 从阅读直接消息到执行任意操作,如转发、点赞和删除推文,关注任何帐户,删除关注者,访问帐户设置,甚至更改帐户头像。 访问Twitter API需要生成密钥和访问令牌,这些密钥和令牌充当应用程序的用户名和密码,并代表发出API请求的用户。
发布时间:2022-08-02 11:06 | 阅读:254082 | 评论:0 | 标签:安全快讯 数据泄露 Twitter 移动 泄露 API

工信部《数据传输安全白皮书》发布,星阑科技CTO解读数据传输视角下的API安全

在2022全球工业互联网大会上,专注于API安全防护的星阑科技作为《数据传输安全白皮书》编制组成员及企业代表以“数据传输视角下的API安全”为主题进行了演讲分享。为此,我们星阑科技CTO徐越为我们解读了关于企业API安全建设以及《数据传输安全白皮书》的编制过程的相关内容。API经济迅猛发展,带动API安全趋进关于企业中的API安全问题,徐越表示:数字化转型依赖于企业的数据整合能力,即将其服务、能力和资产打包到可重复利用的模块化软件中。
发布时间:2022-07-30 14:01 | 阅读:91160 | 评论:0 | 标签:安全 API

工信部信息中心《数据传输安全白皮书》重磅发布,星阑受邀参编并进行API安全主题演讲

2022年7月27-29日,全球工业互联网大会在浙江乌镇拉开帷幕。本届大会以“加快工业数字化转型 推动经济稳中求进”为主题,由工业和信息化部网络安全产业发展中心(工业和信息化部信息中心)、中国工业经济联合会、桐乡市人民政府等单位共同主办,旨在总结全球工业互联网领域阶段性发展成果、推进工业数字化转型工作,提升制造业核心竞争力,拓展工业增长空间,稳定工业经济增长。 参编白皮书,彰显行业影响力7月29日,在2022全球工业互联网大会——网络和数据安全发展分论坛上,工业和信息化部网络安全产业发展中心(工业和信息化部信息中心)发布《数据传输安全白皮书》。
发布时间:2022-07-29 14:51 | 阅读:46656 | 评论:0 | 标签:安全 API

API安全研究报告(2022年Q2)丨永安在线

声明本报告由永安在线·鬼谷实验室独家编写,如需转载、摘编或利用其它方式使用本报告文字或观点请联系永安在线。 前 言 随着互联网技术的快速发展,API作为连接服务和传输数据的核心通道,需求正大量增长,API在企业的发展过程中也扮演着越来越重要的角色。然而,API巨大价值的背后也同时隐藏着不可忽视的安全风险。根据永安在线《2022年Q2 API安全研究报告》(下文简称《报告》)数据显示,2022年Q2季度API风险态势依旧严峻,针对API的攻击持续高发,被攻击的API数量月均超过25万,相比Q1明显增长;API攻击波及到政务平台、智慧停车、数字藏品等多个行业。
发布时间:2022-07-27 16:52 | 阅读:70558 | 评论:0 | 标签:安全 API

Gartner技术成熟度曲线:API安全技术解读

“ 为支持数字化转型过程中的信息流通以及各种程序、应用和系统之间的连接,API 在应用架构中变得更加普遍。然而,这种增长引起了攻击者的更多关注,API 已成为许多系统的主要攻击面。”在近日发布的《Hype Cycle for Application Security, 2022》(2022年应用安全技术成熟度曲线)报告中,Gartner再次阐明API作为企业数字化转型的重要基础设施已逐渐成为攻击者的主要攻击目标。
发布时间:2022-07-26 10:58 | 阅读:66838 | 评论:0 | 标签:安全 API

API NEWS | API 安全测试资源(附思维导图)

欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。本周,我们带来的分享如下:API 测试清单针对渗透测试人员的一个全面指南如何使用 CVSS 解决 API 安全问题关于Ivan Novikov 的 10 年 API 安全漏洞之旅API 测试清单本周,给大家介绍来自 Latish Danawale 的 API 测试优秀清单。该指南可能更适合 API 渗透测试人员,但对于任何使用 API 以了解对手的策略(和才能)的人来说,也非常值得一读。
发布时间:2022-07-25 16:41 | 阅读:51577 | 评论:0 | 标签:安全 API

开放API生态系统面临的10个威胁

尽管全球经济形势趋于严峻,但API经济仍在继续增长。对于大多数行业来说,API促进了几乎所有应用程序或服务的即时交易,加快了商品和服务的交易速度。应用交付网络和业务解决方案提供商F5公司最近发布的一份报告以这种方式描述了API的快速增长:“如果说数据是新的石油,那么API将成为新的塑料。”开放API(或公共API)提供了许多机会和竞争优势。企业可以利用开放API来重塑其供应和交付链。企业可以利用广泛的开发人员人才库和不断增长的软件资源库。此外,企业可以将其商业开发的API作为开放API发布。通过这样做,他们可以吸引新客户、提高品牌忠诚度,并提升他们的市场形象。
发布时间:2022-07-25 11:01 | 阅读:38470 | 评论:0 | 标签:API

隐藏云API的细节,SQL让这一切变简单

渗透测试人员、合规性审计员和其他DevSecOps专业人员花了大量时间编写脚本来查询云基础设施。人们喜欢用(Python版AWS SDK)来查询AWS API并处理返回的数据。 它可以用来完成简单的工作,但如果你需要跨多个AWS帐户和地区查询数据,事情就变得复杂了。这还不包括访问其他主流云平台(Azure、GCP、Oracle Cloud),更不用说GitHub、Salesforce、Shodan、Slack和Zendesk等服务了。开发人员花了太多的时间和精力从这些API获取数据,然后将其规范化并开始真正的分析任务。
发布时间:2022-07-23 08:21 | 阅读:79509 | 评论:0 | 标签:SQL API

2022年第二季度API安全态势研究:月均攻击数量超25万次

随着互联网技术的快速发展,API作为连接服务和传输数据的核心通道,需求正大量增长,API在企业的发展过程中也扮演着越来越重要的角色。然而,API巨大价值的背后也同时隐藏着不可忽视的安全风险。永安在线日前发布《2022年Q2 API安全研究报告》(下文简称《报告》),报告数据显示,2022年Q2季度API风险态势依旧严峻,针对API的攻击持续高发,被攻击的API数量月均超过25万,相比Q1明显增长;API攻击波及到政务平台、智慧停车、数字藏品等多个行业。
发布时间:2022-07-22 13:56 | 阅读:37528 | 评论:0 | 标签:攻击 安全 态势 API

API安全形势严峻 38万台K8s API服务器暴露在公网

Shadowserver Foundation的研究人员发现,超过38万台开放Kubernetes API服务器暴露在互联网上,占全球可观测在线Kubernetes API实例的84%。研究是通过HTTP GET请求在IPv4基础设施上进行的。研究人员没有进行任何侵入性检查来精确衡量这些服务器所呈现的暴露程度,但研究结果表明,Kubernetes API服务器领域可能存在普遍性问题。“虽然并不意味着这些实例完全开放或容易受到攻击,但这种访问级别很可能并非有意设置,这些实例是不必要暴露的攻击面。”Shadowserver在报告中称,“甚至还暴露了版本和构建信息。
发布时间:2022-07-19 11:00 | 阅读:44076 | 评论:0 | 标签:安全 API

API接口安全将很大程度决定了互联网数据的安全

作为数字经济和信息社会的核心资源,数据对国家治理、经济运行机制、社会生活方式等产生着深刻影响。数据在流动、分享、加工和处理的过程中创造价值,但其前提是保障数据安全无虞。因为庞大的数据足以勾勒出数以亿计的人物画像,而支撑这些庞大数据高速传输的重要通道,便是API。因此,API接口安全将很大程度决定了互联网数据的安全。
发布时间:2022-07-15 16:52 | 阅读:21700 | 评论:0 | 标签:安全 API

敏感数据保护的基石:API资产发现与管理

作为数字经济和信息社会的核心资源,数据对国家治理、经济运行机制、社会生活方式等产生着深刻影响。数据在流动、分享、加工和处理的过程中创造价值,但其前提是保障数据安全无虞。因为庞大的数据足以勾勒出数以亿计的人物画像,而支撑这些庞大数据高速传输的重要通道,便是API。因此,API接口安全将很大程度决定了互联网数据的安全。
发布时间:2022-07-15 15:44 | 阅读:21863 | 评论:0 | 标签:API资产发现与管理 敏感数据保护 敏感数据 保护 API

媒体专访 | API安全战役没有退路,永安在线坚定走在行业前列

以下文章来源于AI星球 ,作者林京 AI星球 . AI星球,提供人工智能资讯 企业API安全管理迫在眉睫。API攻击过去12个月增加了7倍,影响了95%的组织,Salt Labs发布的2022年第一季度API安全状况报告数据,受到广泛关注。研究还表明,大多数企业没有准备好应对这些挑战,超过三分之一(34%)没有API安全策略。同样,传统的安全措施继续失败,给组织一种虚假的安全感。随着云计算、移动互联网、物联网的蓬勃发展,企业拥有庞杂的API资产,起到连接服务和传输数据作用的API,成为黑客们攻击的重点对象。企业因API而导致大量数据泄露的事件屡见不鲜。
发布时间:2022-07-15 13:59 | 阅读:22328 | 评论:0 | 标签:安全 API

永安在线免费开放API风险雷达,注册即可感知风险

该平台集“API风险雷达”和“情报查询”两大核心功能,能帮助企业实时监测和预警外部的API风险、快速验证业务风险数据,为企业信息安全管理提供情报数据支撑。(API风险雷达监测到某电商平台API被攻击)超轻量级,无需导入业务流量,注册即可感知风险apis.yazx.com备注:请通过PC端注册和登录近年来,随着企业“互联网化、数字化”进程的不断深入,越来越多的业务搬到线上,线上应用之间的连接和数据传输依赖API。
发布时间:2022-07-15 12:48 | 阅读:24240 | 评论:0 | 标签:API风险 API风险雷达 API

数字生态系统安全演进:软件供应链中的API安全

在不久前,应用程序编程接口 (API)还是一个抽象概念。随着组织发展及流程数字化,单个应用程序中的许多复杂的相互依赖关系让开发人员、业务领导和客户感到复杂。但当转向微服务架构时,API的作用迅速提升。API在软件供应链中发挥着关键作用,软件供应链也逐渐自动化,并通过持续集成/持续交付(CI/CD) 模型相互连接。软件供应链中的任何一环都可能存在被攻击的风险,API也不例外。2021年的一项调查中,73%的企业表示他们已经发布50多个API,并且这个数字还在不断增长。
发布时间:2022-07-14 14:01 | 阅读:22146 | 评论:0 | 标签:安全 API

《2021年中国互联网安全报告》:API威胁暴涨超200%,软件供应链安全风险加剧

扫码订阅《中国信息安全》杂志邮发代号 2-786征订热线:010-823410637月12日,网宿科技发布了《2021年中国互联网安全报告》(下称《报告》)。《报告》基于网宿科技安全平台数据,根据2020年和2021年的攻防数据综合对比,分析了攻击趋势并做出判断。《报告》显示,2021年网络安全形势更加严峻,应用层攻击持续高发,API攻击尤其呈爆炸性增长,达到2020年的3.13倍。同时,网络攻击的方式趋于多样化,来自境外的攻击源数量增长显著。《报告》称,随着企业对于开源软件的依赖日益提升,开源软件出现漏洞所造成的影响逐渐深远,组合拳的防护方式成为应对软件供应链安全风险的趋势。
发布时间:2022-07-13 22:45 | 阅读:33738 | 评论:0 | 标签:安全 网安 API 中国

洞见RSA2022 | The Rise of API Security

阅读:34一、前言在2022RSA大会上,来自Techstrong Research[1]的Mitch Ashley发表了一个名为“The Rise of API Security:It’s 10 pm – Do You Know Where Your APIs Are?”的演讲。该议题主要针对目前不断增长的API安全进行了调查和探讨。Mitch Ashley从API安全增长的原因,目前企业的API安全建设现状,以及API的管理建设分析了当前API安全的发展趋势。
发布时间:2022-07-12 18:05 | 阅读:27318 | 评论:0 | 标签:安全分享 API RSA2022

未然通讯社:约40万台Kubernetes API服务器于公网暴露

往期推荐未然通讯社:2021年至少7个零日漏洞被商业化;勒索软件团伙窃取AMD 450GB数据未然通讯社:80%互联网电视系统存非法采集共享用户数据问题未然
发布时间:2022-07-11 22:50 | 阅读:28186 | 评论:0 | 标签:API Kubernetes

RASC解读-The Rise of API Security

一、前言在2022RSA大会上,来自Techstrong Research[1]的Mitch Ashley发表了一个名为“The Rise of API Security:It’s 10 pm – Do You Know Where Your APIs Are?”的演讲。该议题主要针对目前不断增长的API安全进行了调查和探讨。Mitch Ashley从API安全增长的原因,目前企业的API安全建设现状,以及API的管理建设分析了当前API安全的发展趋势。
发布时间:2022-07-08 19:51 | 阅读:29952 | 评论:0 | 标签:API

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁

本页关键词 💎