API NEWS | Jetpack WordPress插件存在API漏洞

欢迎大家围观小阑精心整理的API安全最新资讯，在这里你能看到最专业、最前沿的API安全技术和产业资讯，我们提供关于全球API安全资讯与信息安全深度观察。

本周，我们带来的分享如下：

• 一篇关于Jetpack WordPress插件存在API漏洞的文章
• 一篇关于如何应对不断增长的API安全漏洞的文章
• 一篇关于API安全性是当务之急的文章
• 工具：使用Burp Suite查找GraphQL漏洞

Jetpack WordPress插件API漏洞影响数百万个网站

流行的WordPress插件Jetpack强制对所有安装进行更新，以解决插件中的一个关键API漏洞。该插件在WordPress用户中非常受欢迎，全球下载量超过500万次。自2012年首次发布2.0版以来，所有版本都存在这个漏洞。

Jetpack的官方公告中对这个漏洞的性质提供的细节很少，只是指出它影响到一个API，并可能允许对受影响主机的文件系统进行访问。文章列出了所有受影响的版本，但坚称目前没有已知的对该漏洞的利用。

用户被要求确保他们正在使用最新的插件版本，即Jetpack 12.1.1。

小阑总结：

• 这个漏洞对于受影响的WordPress站点来说是非常危险的，因为它可能允许攻击者利用API漏洞，从而访问站点上的文件系统。如果攻击成功，攻击者可以读取、修改或删除站点上的数据。这可能导致站点崩溃、数据泄露或损坏，对站点和其用户造成极大的损失。
• 为了预防这个漏洞，所有使用Jetpack插件的WordPress站点都应该尽快更新到最新版本Jetpack 12.1.1。此外，站点管理员还应该遵循良好的安全实践，如安装安全插件，设置强密码和多因素身份验证，以及定期备份站点数据以应对意外情况。此外，站点管理员还应该保持警惕，避免打开或下载来自未知来源的文件和链接，以减少站点遭受攻击的风险。

创新保护：2023年应对API安全漏洞的前沿策略

在本周讨论API安全挑战的两篇文章中的第一篇中，介绍了Katrina Thompson的想法。作者强调了API在构建当今数字基础设施方面的重要性。不幸的是，这增加了攻击者的风险，他们意识到API在攻击组织时代表了“最佳点”。根据这篇文章，最近的一项研究表明，97%的企业领导者将API的使用归类为对未来增长至关重要，另一项研究表明，使用API的平均数量比去年增长了82%。

笔者指出了五种类型的API安全漏洞，并提出了处理方法，具体如下：

• 过于宽松的API：API经常可以访问比它们应该访问的更多的数据，并且通常以比它们应该更高的权限执行。API应被授予执行其业务目标所需的最低权限。
• 代码中的错误：正如读者所知，许多API漏洞是由于代码库中的缺陷造成的，导致BOLA、BFLA和身份验证中断等漏洞。始终确保扫描API代码库以查找漏洞，并在任何重大更改时手动审查。
• 速度超过安全：与API代码中的错误主题相结合的是偏爱速度而不是安全性的主题。在许多情况下，业务需求往往占主导地位，API团队在充分验证安全性之前发布API。这会导致生产中代价高昂的中断，包括昂贵的修补程序和返工。在开发的早期阶段解决安全问题要有效得多。
• 公开和隐藏的API：时事通讯的读者熟悉影子和僵尸API给安全团队带来的问题。如果您不知道自己拥有和操作的API，则无法保护。
• 每个API都是唯一的：确保您了解保护每个 API 的特定需求，因为它们可能具有非常不同的特征和安全要求。

小阑解读：

要避免API漏洞并提高防范措施：

• 及时更新API：确保你使用的所有插件、库和框架的API都是最新版本。
• 实施授权和访问控制：限制API的访问仅限于经过授权和验证的用户或应用程序，使用令牌、密钥或其他访问控制机制，确保只有合法用户才能使用API。
• 输入验证和过滤：在处理API请求时，对输入数据进行严格的验证和过滤，确保输入数据符合预期格式和类型，以防止恶意数据注入或其他安全威胁。
• 强化身份验证：为API访问实施强大的身份验证机制，如多因素身份验证、OAuth等，防止未经授权的访问和恶意活动。
• 监控和日志记录：实时监控API的使用情况，并记录重要操作和事件，这样可以快速检测异常行为并采取适当的响应措施。
• 安全审计和代码审查：进行定期的安全审计和代码审查，检查潜在的漏洞和安全隐患；修复发现的问题，并确保API的代码质量和安全性。
• 安全培训和意识：提供安全培训，教育开发人员、管理员和用户有关API安全最佳实践和常见攻击方式，增强安全意识，及时识别和应对安全威胁。

当前最紧迫的任务：确保API的安全性

这一篇文章将介绍印度CIO.com和Indiatimes.com上多位安全专家的见解。

全球信息安全和网络安全主管Nikhil Chawla认为，人员和威胁给API安全带来了许多挑战。在许多情况下，开发人员没有充分意识到对API可能带来的威胁，忽视了重要的主题，如速率限制、DDoS攻击和跨站脚本攻击。通过更好地理解这些问题，他们可以在保护API方面取得更大成功。

CSB银行有限公司首席信息安全官巴比塔·B·P重点关注API可见性这一重要话题。在大规模确保API安全方面，关键是确保以自动化方式监控API，并尽量减少对手动发现和审计API的依赖。

Radware云安全服务销售总监Navneet Daga总结道，提高API安全性需要安全和开发团队之间加强协作，API安全性不是一个单点解决方案，而是需要分层策略进行深度防御。

小阑建议：

API在现代应用程序中起着关键作用，其安全性的重要性不容忽视：

• 数据保护：API作为不同应用程序之间的桥梁，承载着大量敏感数据的传输和交换。确保API的安全性可以预防数据泄露、篡改或未经授权的访问，保护用户和组织的重要信息。
• 业务连续性：许多企业和组织依赖于API来提供核心服务和功能，如果API存在漏洞或受到攻击，可能导致系统崩溃、服务中断或无法正常运行，对业务造成严重影响。
• 用户隐私保护：API通常需要与用户进行交互，涉及到用户个人信息的处理和存储，确保API的安全性可以防止用户隐私泄露和滥用，增强用户对产品和服务的信任感。
• 防止恶意攻击：恶意攻击者常常利用API的弱点进行攻击，例如通过API暴力破解密码、注入恶意代码或发起拒绝服务攻击；加强API安全性可以减少潜在的攻击面，提高系统的抵御能力。
• 合规要求：许多行业和法规对数据的安全性和隐私保护有严格的要求，例如金融、医疗和个人信息管理领域，保持API的安全性是满足合规要求的重要一步。

使用Burp Suite查找GraphQL漏洞

Port Swigger提供了一个关于使用他们的Burp Suite工具来识别GraphQL漏洞。

利用 GraphQL API 的第一步是发现端点。这可以使用Burp Suite手动完成，也可以通过将通用查询发送到常见的GrahpQL API端点来完成，如下所示：

/graphql

/api

/api/graphql

/graphql/api

/graphql/graphql

确定终结点后，可以确定终结点支持的不同请求方法，包括支持的数据类型。

下一步是识别未经净化的参数，并发现通过这些参数注入恶意内容的不同方法。通过发现架构信息，可以深入了解 API 的结构，并允许攻击者深入了解如何进一步攻击 API。Burp Suite还提供了一个扩展，可以自动执行大部分发现过程，这是流行的扩展。

InQL是一个Burp Suite扩展，可帮助您安全地审核GraphQL API。它发出一个内省查询，请求给定 URL 的所有查询和突变（通过指向实时终结点的链接或通过 JSON 文件），并提供结构化视图以帮助您浏览结果。

从安全角度来看，文章最后提出了一些保护GraphQL API 的有用建议：

• 在API终端节点上禁用侦测，除非有明确且易于理解的理由来启用它，这可以防止攻击者了解终结点的工作原理。
• 查看API的架构，确保它不会向公众公开意外字段。
• 确保禁用建议，以防止攻击者使用工具收集有关基础架构的信息。
• 确保您的API架构不会公开私有用户字段，例如PII等信息。

感谢 APIsecurity.io 提供相关内容

关于星阑

星阑科技基于大数据分析及AI智能化技术体系，助力企业应对数字世界的安全风险。凭借持续创新的安全理念和效果导向的攻防能力，星阑科技发展成为国内数据智能、信息安全领域的双料科技公司。为解决流动数据安全问题，星阑科技从数据攻防、数据分析、数据治理等不同场景出发，提供全景化数据流转监测、应用数据分析、API安全治理、高级威胁检测等解决方案，构建全链路流动数据保护体系。

星阑科技核心产品——萤火流动数据分析平台，可针对用户异构、多模态数据提供风险监测、合规性管理、数据建模、用户追踪、行为关联、AI解释与推理等一体化数据分析能力，为企业的数据可观测性、数据合规、威胁监测、应用治理、业务洞察等场景提供全面支持。