记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

网络安全—如何预防常见的API漏洞

跟随着互联网的全面发展,API这一词频繁出现在大家的视线之中,什么是API呢?API全称Application Programming Interface,翻译出来叫做“应用程序接口”,是一些预先定义的接口(如函数、HTTP接口),或指软件系统不同组成部分衔接的约定。 用来提供应用程序与开发人员基于某软件或硬件得以访问的一组例程,而又无需访问源码,或理解内部工作机制的细节。如今,API 已成为将当今APP经济的粘合剂,在Web 2.0的浪潮到来之前,开放的API 甚至源代码主要体现在桌面应用上,越来越多的Web应用面向开发者开放了API,同时也正在成为黑客攻击的头号目标。
发布时间:2021-10-18 10:40 | 阅读:1482 | 评论:0 | 标签:漏洞 网络安全 安全 网络 API

案例警示,不可忽视的API安全

一、你的隐私数据正在被泄露API作为影响数据安全和个人信息保护的重要风险来源,一旦发生安全问题,泄露的将是海量的数据,影响面不可估量;更甚之,若API被攻击的情况发生在一些重要行业,例如金融行业、医疗行业、政务行业等,导致个人的医疗信息、金融信息等隐私数据被不法分子利用,不仅会给个人带来权益的损失,还会引发恶劣的社会影响,甚至影响国家安全。从1个案例看API安全10月11日,在2021国家网络安全周线上主题晚会“网安在行动”环节,展示了1个由API导致的数据泄漏警示案例。
发布时间:2021-10-15 22:04 | 阅读:5762 | 评论:0 | 标签:API 个人信息保护法 网络安全周 安全

2021世界互联网大会|全知科技重磅发布“API风险监测产品2.0”

近年来,得益于信息技术和大数据的快速发展,我国互联网应用服务得到广泛布局,数字生态持续丰富。数字经济持续深度渗透,为我们带来数字化便利的同时,也为高质量发展建设数字社会新形态注入强大动力。1、大会概况2021年9月25日-28日,由国家互联网信息办公室和浙江省人民政府共同举办的2021年世界互联网大会乌镇峰会在乌镇召开,峰会以“迈向数字文明新时代——携手构建网络空间命运共同体”为主题,汇聚了线上线下近2000名来自各国政府、行业机构、中外互联网企业、科研机构等代表,共同探讨网络空间发展治理等诸多议题。
发布时间:2021-09-28 17:57 | 阅读:12288 | 评论:0 | 标签:API

数字经济时代API市场威胁与挑战并存(内附Gartner视频)

《2021年API经济状况》报告表明,近几年,数字化转型已成为企业的第一要务,而新冠疫情和不断变化的市场环境让企业数字化更迫切。疫情使全球企业的数字化转型时间从数年压缩到短短几个月。数字化转型的核心是将组织的服务、资产和能力打包成互联网服务,从而让资源之间形成更强的连接和互动关系,释放原有资产的价值,提升组织的服务能力,这其中,API是非常关键的技术。可以说,当前API(Application-Programming-Interface,应用程序编程接口)是当今数字世界的基础设施。
发布时间:2021-09-14 19:05 | 阅读:15126 | 评论:0 | 标签:API

不使用 K8s API,如何直接修改 etcd 数据?

本文探讨了不使用 Kubernetes API,直接在 etcd 中处理数据的可能性,并在真实的 K8s 集群上成功测试了所有步骤。作者:Flant staff  翻译:Bach校对:星空下的文仔、bot,来源:K8sMeetup社区大家是否曾经考虑过更改 Kubernetes 集群的 etcd 数据的“低级”方法?就是说在不使用任何通用的 Kubernetes 工具(例如 CLI 程序甚至 API)就更改 etcd 存储的数据。一切从这开始越来越多的客户(大多是开发人员)要求提供对 Kubernetes 集群的访问权限,以便与内部服务进行交互。
发布时间:2021-09-13 11:06 | 阅读:10879 | 评论:0 | 标签:API

YApi 接口管理平台 漏洞复现

YApi 接口管理平台 漏洞复现 1.漏洞描述 YAPI接口管理平台是国内某旅行网站的开源项目,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。 该漏洞存在于YAPI的mock脚本服务上,是由于mock脚本自定义服务未对JS脚本加以命令过滤,用户可以添加任何请求处理脚本,攻击者可利用该漏洞在受影响的服务器上执行任意javascript代码,最终导致接管并控制服务器。
发布时间:2021-09-11 16:27 | 阅读:22791 | 评论:0 | 标签:渗透测试 渗透编程 漏洞 API

《数据安全法》正式施行,企业应如何保护API的数据安全?

2021年6月,十三届全国人大常委会第二十九次会议通过了《中华人民共和国数据安全法》(以下简称数据安全法),已于9月1日起正式实施。这是中国政府依法保障数据安全的重要步骤,标志着中国在依法保障数据安全方面迈出了重要一步。在此背景下,无论是国家还是企业对于数据保护和安全建设的需求已经提升到一个全新层次。在现代IT应用架构中,API通信如“血液”般承载了绝大多数的应用数据交换。因此无论是国内还是国外越来越多的攻击者正利用API来实施自动化的“高效攻击”,由API所引发的数据安全事件,严重损害了企业和用户权益,逐渐引起广泛关注。
发布时间:2021-09-09 16:25 | 阅读:11755 | 评论:0 | 标签:数据安全 安全 保护 API

最常被利用的三类API漏洞

点击蓝字 关注我们应用程序编程接口 (API) 已成为将当今APP经济的粘合剂,同时也正在成为黑客攻击的头号目标。API的运行方式与URL的运行方式大致相同,用户使用Web搜索时,页面展示结果是动态的,以手机银行应用程序为例,API也以类似的方式运行,它可以获取用户的姓名、账号和账户余额,并相应地填充交互页面中的字段。但API更容易受到攻击者的青睐,因为API包括所有安全检查,并且通常直接与后端服务通信。应用程序安全方面一直存在一个问题:输入验证。如果没有适当的功能和安全测试,API可能会成为一个完美的攻击点。因为API受应用程序信任,可以进行高速、海量数据交换。
发布时间:2021-09-01 16:24 | 阅读:11080 | 评论:0 | 标签:漏洞 API

《数安法》今起施行,企业应如何保护API的数据安全?

今天,我国第一部有关数据安全的法律——《数据安全法》正式开始施行。这意味着在法案中对于数据处理活动、安全保护、开发利用提出的合规要求,从今天起必须全部遵循,跨越“红线”将违法必究、按法处罚!数据安全,是个老生常谈却历久弥新的话题,原因在于数据作为一种新的生产要素类型,被写入正式的中央文件中,与土地、劳动力、资本、技术等其他生产要素并驾齐驱。这无疑说明了数据的重要性,也意味着对于加强数据资源整合与安全保护必须提升到更高的层次。那如何加强对数据资源的安全保护呢?在搭建保护防控体系之前,先来了解下目前数据安全主要面临风险有哪些。
发布时间:2021-09-01 11:03 | 阅读:14766 | 评论:0 | 标签:数据安全 安全 保护 API

API 的5 大身份验证安全隐患

最近一连串的 API 安全事件(Peloton、Experian、Clubhouse 等)无疑迫使许多安全和开发团队仔细检查他们的 API 安全状况,以确保它们不会成为下一个被攻击对象。创建面向外部受众的所有API的清单是组织在组合或重新评估API安全程序时最常见的出发点。有了这个清单,下一步是评估每个暴露的 API 的潜在安全风险,比如弱身份验证或以明文形式暴露敏感数据。OWASP API安全Top 10为评估API清单的风险类型提供了一个良好的框架。它们被列在前10位是有原因的,最常见和最严重的都排在前面。
发布时间:2021-08-31 13:41 | 阅读:13042 | 评论:0 | 标签:安全 API

实现API安全的全生命周期管理

随着企业互联网化进程的不断深入,越来越多的业务被迁移到互联网上,大量的业务交互和对外服务,导致企业大量使用API。因此,API已经成为业务的一个关键组件,企业必须优化和加速API,以提高App应用的性能、可靠性和用户体验。大多数企业认为API安全是他们希望解决的首要问题。面对互联网上飞速变革的业务形态,企业正在创建开放式API以满足不断变化的需求。然而,开放式API的安全负担更大,因为利用自动化工具通过合法帐户进行API滥用已成为开放式API攻击的主流。注入攻击、DDOS攻击、身份账号安全、敏感数据泄漏、参数篡改等API资产使用运维过程中引入的新风险给安全运维带来了极大挑战。
发布时间:2021-08-31 12:34 | 阅读:12423 | 评论:0 | 标签:技术产品 API 瑞数信息 安全

星阑科技亮相北京网络安全大会,分享API安全新思路!

8月26日,2021北京网络安全大会(BCS2021)在线上顺利开幕,同来自全球的政、产、学、研、用等各个领域的顶级专家齐聚于此,共同交流。星阑科技作为新一代安全公司代表携相关安全产品及行业整体解决方案亮相本次云展厅,并受邀参加演讲,吸引了众多观众在线观看。本届大会由中国电子信息产业集团有限公司、中国互联网协会、中国网络空间安全协会、中国密码学会、全国工商联大数据运维(网络安全)委员会、中国通信学会、中国友谊促进会和奇安信集团联合主办的,以“经营安全,安全经营”为主题,重点关注数字经济新环境下的网络安全发展之路。内容涉及政策形势、产业发展、前沿技术等多个方向。
发布时间:2021-08-30 16:26 | 阅读:15795 | 评论:0 | 标签:网络安全 安全 网络 API

API遭恶意机器爬虫攻击,大多数公司毫无防备

随着企业逐渐将应用程序转移至云端,并通过应用程序编程接口(API)暴露各种功能,网络罪犯也纷纷快速转向利用这一新暴露出来的攻击界面。借助机器爬虫,黑客能够大幅增加其攻击的波及面和有效性。与许多新技术的情况类似,安全再一次滞后了。管理咨询公司AArete技术实践总经理John Carey称,问题在于企业必须合理安排其安全预算。客户通常是看不到反机器爬虫技术方面的投入的。他说:“工具和技术稀缺,而且越来越贵。同时,由于是个有利可图的犯罪领域,威胁范围也正在扩大。
发布时间:2021-08-14 09:08 | 阅读:21988 | 评论:0 | 标签:攻击 API

API遭恶意机器爬虫攻击 大多数公司毫无防备

#API安全 3 #机器爬虫 1 随着企业逐渐将应用程序转移至云端,并通过应用程序编程接口(API)暴露各种功能,网络罪犯也纷纷快速转向利用这一新暴露出来的攻击界面。借助机器爬虫,黑客能够大幅增加其攻击的波及面和有效性。与许多新技术的情况类似,安全再一次滞后了。管理咨询公司AArete技术实践总经理John Carey称,问题在于企业必须合理安排其安全预算。客户通常是看不到反机器爬虫技术方面的投入的。他说:“工具和技术稀缺,而且越来越贵。同时,由于是个有利可图的犯罪领域,威胁范围也正在扩大。
发布时间:2021-08-14 01:16 | 阅读:23216 | 评论:0 | 标签:攻击 API

谈谈情报对API数据安全风险审计的价值

随着数字化的不断发展,企业服务的大量敏感数据必须开放出去赋能业务发展,但背后的数据安全问题却日益严峻。根据Salt Security的报告,82%的组织对自己是否知道API信息毫无信心,他们无法确定这些API是否包括客户个人网络信息、受保护的健康信息、持卡人数据等个人可识别信息。同时,还有22%的组织表示他们不知道如何发现哪些API在暴露敏感数据。
发布时间:2021-08-13 14:41 | 阅读:23006 | 评论:0 | 标签:审计 数据安全 情报 安全 API

北京红星二锅头之Dpapi释疑

✨ 十年磨一剑,一出天下寒  ✨要想成为强者,就不要回避心里的恐惧,恐惧并不是弱点。强者,是要让你的敌人比你更恐惧 [剑圣盖聂]Dpapi释疑当红队进行攻击的时候,对攻击目标的信息收集是很重要的。内网信息收集的时候离不开对于存储凭据和敏感信息的收集,那就离不开DPAPI这个数据保护接口,当你在 Outlook、Chrome或 Internet 浏览器中保存密码时,DPAPI 和 Windows 会保护您的数据。
发布时间:2021-08-08 20:19 | 阅读:21520 | 评论:0 | 标签:API

CrossC2通信协议API的实践

之前在内部分享会上看到,感觉讲的很详细了,力荐一下。本文取得RichardTang师傅授权转载,首发于先知社区。前言在讲解CrossC2的通信API之前感觉有必要先说一下基础的用法,另外有错误欢迎指正(毕竟我是真的菜)。CrossC2介绍简单说CrossC2能让你的CobaltStrike支持Linux/MacOS/Android/IOS平台的Beacon上线。
发布时间:2021-08-05 12:39 | 阅读:18813 | 评论:0 | 标签:API

API 攻击流量在过去六个月增长了 300+%

前情提要Salt Labs 发布的一份报告显示,在过去六个月中,应用程序编程接口 ( API ) 攻击出现了前所未有的激增。每月 API 调用率增长了 141%,而恶意流量增长了 348%。尽管调查结果完全基于 Salt Security 客户数据,但它们强调了云原生漏洞的广泛流行以及整个 IT 行业对更强大的网络安全响应的需求。在整个数字化转型计划中,API 的使用继续激增。随之而来的是越来越多的攻击。谈到 API,近一半的开发人员将安全问题列为最担心的问题。API 安全威胁可能会延迟应用程序的推出,导致应用程序不稳定并降低品牌声誉——所有这些都可能给企业带来代价。
发布时间:2021-08-03 10:27 | 阅读:19660 | 评论:0 | 标签:攻击 API

来自API的威胁以及对API的防护

#API安全 1个 在五月初,健身企业Peloton表示他们客户的账户数据被暴露在互联网上。任何人都能从Peloton的服务器接入用户账户数据——即使这些用户将他们的账户设置为“隐私”。而其原因则是某个出现问题的API许可了未经认证的请求。API可以实现简单的机器对机器的交流。API使用最近呈爆炸性增长。根据Akamai的调查,API交互已经占所有互联网流量的83%。API也导致了大量的安全问题。除了Peloton之外,其他涉及API安全问题的企业包括Equifax、Instagram、Facebook、Amazon和Paypal。
发布时间:2021-08-03 02:31 | 阅读:19266 | 评论:0 | 标签:防护 API

Kunyu(坤舆)——基于 ZoomEye API 的高效信息收集工具

robots 0x00 介绍工具介绍Kunyu (坤舆),名字取自 <坤舆万国全图> ,测绘实际上是一个地理信息相关的专业学科,针对海里的、陆地的、天上的地理信息进行盘点。同样应用于网络空间,发现未知、脆弱的资产也是如此,更像是一张网络空间地图,用来全面描述和展示网络空间资产、网络空间各要素及要素之间关系,以及网络空间和现实空间的映射关系。所以我认为“坤舆”还是比较贴合这个概念的。Kunyu(坤舆),旨在让企业资产收集更高效,使更多安全相关从业者了解、使用网络空间测绘技术。
发布时间:2021-07-30 17:13 | 阅读:26242 | 评论:0 | 标签:API

Kunyu(坤舆)-基于 ZoomEye API 的高效信息收集工具

Editor's Note 404小伙写的工具,欢迎交流~ ZoomEye Author 404实验室 ZoomEye ZoomEye是一款针对网络空间的搜索引擎,收录了互联网空间中的设备、网站及其使用的服务或组件等信息。 作者:风起@知道创宇404实验室时间:2021年7月28日项目地址:https://github.com/knownsec/Kunyu0x00 介绍工具介绍Kunyu (坤舆),名字取自 <坤舆万国全图> ,测绘实际上是一个地理信息相关的专业学科,针对海里的、陆地的、天上的地理信息进行盘点。
发布时间:2021-07-29 19:30 | 阅读:20951 | 评论:0 | 标签:API

从应用安全到代码安全 确保软件安全不能忽视检测API漏洞!

经过 20 多年的发展,现在API无处不在。在2021年的一项调查中,73%的企业表示他们已经发布50多个API,并且这个数字还在不断增长。 在当今API几乎在每个行业中都发挥着至关重要的作用,并且随着它们走向业务前沿,重要性正在稳步增加,通过API带来业务协同和更高的效率。 但是,API就像软件的任何其他组件一样存在漏洞。除此之外,如果它们没有从安全角度进行严格测试,还会引入一系列全新的攻击面,并使您面临前所未有的风险。如果您等到生产环境才发现API漏洞,则可能会导致大量延迟。 API 对攻击者具有吸引力,而不仅仅是企业 API不仅是连接应用程序,而且它们以不可预测的方式改变了功能。
发布时间:2021-07-27 14:28 | 阅读:20002 | 评论:0 | 标签:漏洞 安全 API

如何利用API对AI发动攻击?

robots 前言现在机器学习即服务(Machine Learning as a Service,MLaaS)是非常热门的,很多大厂都把自己的模型开放作为其云平台的一项服务,国外的Google,Amazon,国内的Baidu,Face++等都有类似的服务。但是模型的具体架构、训练算法等细节是不公开的,知识会提供API,供用户使用,MLaaS的提供商可以通过此API向用户收取查询费用来获得收入。从攻击者的视角来看,API可能会带来哪些风险呢?本文将会介绍三种利用API接口发动的攻击,以及对应危害,并给出防御策略。
发布时间:2021-07-26 11:12 | 阅读:28304 | 评论:0 | 标签:攻击 AI API

Rapid7最新动向:收购IntSights

我很高兴与大家分享一个激动人心的消息:2021年7月19日,Rapid7收购了IntSights,这是一家业内领先的提供云本地、外部威胁情报和主动威胁补救解决方案的提供商。IntSights团队非常出色,他们的威胁情报发现能力同样令人印象深刻。我将进一步介绍为什么IntSights的解决方案非常适合Rapid7以及我们的客户,但首先让我介绍一下这次收购的背景。访问地址:https://intsights.com/我们亲眼看到,随着数字化转型,攻击面以指数级增长,客户也认识到,提高对其内部风险状况的可视性只是安全防护的一部分。
发布时间:2021-07-26 10:37 | 阅读:19678 | 评论:0 | 标签:API

Rapid7被评为2021年Gartner SIEM(安全信息和事件管理)魔力四象限的领导者

亲爱的合作伙伴,我们很高兴地分享这个消息:Rapid7的InsightIDR已经被评为2021年Gartner魔力四象限——安全信息和事件管理领域的领导者!这是我们的SaaS SIEM - InsightIDR连续第二次被评为领导者!详细的报告请访问:https://www.rapid7.com/info/gartner-2021-siem-mq/鸣谢首先,我们要感谢所有支持Rapid7的客户和合作伙伴与我们一起踏上这段旅程。您的每次的持续反馈、每次的合作以及长此以往对我们的信任激励我们燃起更高的创新热情,使我们更加坚定地推出更好的安全资讯、产品及服务。
发布时间:2021-07-24 15:56 | 阅读:35846 | 评论:0 | 标签:安全 API

星阑科技发布API安全新品,守护数字世界的连接通道

近年来,API作为连接数据和应用的重要通道,在企业数字化转型中发挥了重要作用。API应用的安全问题也被越来越多的业界人士和专家学者重视与关注。7月23日,专注API安全防护与人工智能技术的初创企业星阑科技,在北京发布“API-Intelligence”萤火安全分析平台,采用“大数据分析+异步实时阻断”的方式,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,可以帮助企业用户构建API安全整体防护体系。
发布时间:2021-07-24 14:49 | 阅读:45073 | 评论:0 | 标签:API安全 星澜科技 安全 API

剑指API经济蓝海 星阑科技重磅API安全新品

7月23日,星阑科技2021新品发布会在北京JW万豪酒店顺利举办,吸引了来自政府、教育、金融、互联网等各个领域的嘉宾及网络安全领域相关专家、媒体等100余人前来参加,共同见证了星阑科技新品发布这一重要时刻。发布会伊始,星阑科技CEO王郁首先进行了致辞,他API发展的历史出发讲述了不同时期API所面临的风险和挑战,并表示:在全球加速迈向数字经济的时代,网络安全产业具有更大的发展潜力和更广阔的发展前景。网络安全行业的客户,正在从消费端转向企业端。背后的变化,不仅是安全数据、安全技术,还有客户不断变化的安全需求。面对新形势,星阑科技也随时调整政策,时刻准备迎接机遇与挑战,持续守护数字世界API安全。
发布时间:2021-07-24 00:48 | 阅读:38457 | 评论:0 | 标签:安全 API

探索建⽴API接⼝安全⻛险评分算法(参考 cvss3.1)

收录于话题 #微服务 1 #信息安全 3 #cvss 1 #评分算法 1 #基础设施 1 前言微服务架构下,现代互联网应用大部分都是通过 API 网关对外提供服务,API 成了业务数据最重要的出入口,这里的风险也成了关注的重点。Web安全渐渐变成了API接口安全要做好 API 接口的安全建设,面对上万的 API 接口,短时间人力肯定无法全部覆盖。那么一个朴素的想法就是为接口建立优先级排序,优先人工排查高风险接口。
发布时间:2021-07-22 01:53 | 阅读:28468 | 评论:0 | 标签:安全 API

CVE-2021-22214:Gitlab API未授权SSRF复现

#漏洞复现文章合集 97个 上方蓝色字体关注我们,一起学安全!作者:L0ding@Timeline Sec本文字数:696阅读时长:2~4min声明:仅供学习参考使用,请勿用作违法用途,否则后果自负0x01 简介GitLab是由GitLabInc.开发,使用MIT许可证的基于网络的Git仓库管理工具,具有issue跟踪功能。它使用Git作为代码管理工具,并在此基础上搭建起来的web服务。0x02 漏洞概述编号:CVE-2021-22214Gitlab的CI lint API用于验证提供给gitlab ci的配置文件是否是yaml格式。
发布时间:2021-07-21 20:28 | 阅读:36950 | 评论:0 | 标签:ssrf CVE API

干货 | 通过HOOK底层API实现进程隐藏

HACK学习计划 Author Buffer HACK学习计划 HACK学习计划养成,致力于培养渗透测试工程师,Web安全工程师,信息安全架构师,二进制安全,HACK硬件安全,移动互联网安全等,助力于为国家网络安全部队输送人才。 前言一次跟师傅交流时师傅谈到有些EDR或AV,他们保护目标主机,甚至无进程,不经想到病毒实际上也常用这种技术。当然,做到隐藏,一个简单的dll注入或者劫持就可以,但本文主要讲解关于进程的隐藏。
发布时间:2021-07-17 23:42 | 阅读:30147 | 评论:0 | 标签:API

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云