API NEWS | 谷歌云中的GhostToken漏洞

欢迎大家围观小阑精心整理的API安全最新资讯，在这里你能看到最专业、最前沿的API安全技术和产业资讯，我们提供关于全球API安全资讯与信息安全深度观察。

本周，我们带来的分享如下：

• 一篇关于谷歌云中的GhostToken漏洞的文章
• 一篇关于Gartner对零信任的看法的文章
• 一篇身份验证攻击威胁API安全的文章
• 一篇关于API安全无处不在的文章

谷歌云中的GhostToken漏洞

本周得到了所谓的GhostToken漏洞的消息，攻击者可以通过应用程序市场针对Google Cloud用户进行攻击。根据发现该漏洞的Astrix的研究人员称，它可以允许攻击者访问目标账户的Google Drive、Calendar、Photos、Google Docs、Google Maps和其他Google Cloud平台服务。

研究人员于2022年6月向Google报告了他们的发现，Google在2022年8月接受了这些发现，然后在2023年4月发布了一个全球补丁来解决此问题。研究人员还建议Google Cloud用户定期使用Google Cloud门户上的应用程序管理页面验证其实例上安装的应用程序。

漏洞的根本原因与Google Cloud管理应用程序的生命周期有关，具体地说，与应用程序相关的OAuth2令牌如何被管理有关。Google Cloud为应用程序提供了30天的宽限期，在应用程序被计划删除的时间起到永久删除之前。这个宽限期是为了让管理员有机会恢复错误删除的资源。在待删除状态下，应用程序（以及其相关资源，如OAuth2令牌）对平台用户不可见。Astrix的研究人员发现，如果在30天的窗口内取消了应用程序的待删除操作，则应用程序及其所有关联资源将被恢复。他们用OAuth2令牌进行了测试，发现该令牌仍然可以访问其原始资源。

他们描述了如何使用此删除/待删除/取消删除循环来有效地从用户的Google Cloud门户应用程序管理页面中隐藏一个恶意应用程序，使用以下攻击流程：

使用这种技术，攻击者可以有效地永久隐藏他们的应用程序，除了每30天执行恢复/删除步骤的短暂窗口。

这将使攻击者几乎不可能检测到恶意应用程序的存在。

需要及时提醒管理员定期检查其平台上未使用或意外的访问令牌。

小阑建议：

• 及时更新和升级：确保您的Google Cloud平台和应用程序库保持最新版本。及时应用Google发布的安全补丁和更新，以修复已知的漏洞和弱点。
• 定期检查和验证应用程序：定期审查您Google Cloud实例上安装的应用程序，并使用Google Cloud门户上的应用程序管理页面验证其合法性和安全性。删除任何不再需要的或可疑的应用程序。
• 强化访问控制：限制谁可以访问和管理您的Google Cloud平台。采用最小权限原则，仅为必要的用户提供适当的访问权限。
• 实施多因素身份验证（MFA）：为Google Cloud账户启用多因素身份验证，以增加账户的安全性。这可以防止未经授权的访问，即使攻击者获得了某些凭据。
• 监控和日志记录：实施全面的监控和日志记录机制，以便能够检测异常活动并追踪潜在的安全事件。定期检查日志，及时发现和应对异常情况。
• 报告漏洞：如果发现任何潜在的漏洞或安全问题，请及时向Google报告，以便他们能够采取适当的措施来修复和防止潜在的风险。

Gartner对零信任的看法

接下来，我们从Gartner和其他行业专家的角度来看零信任的前景，尤其是它对API安全的影响。Venture Beat上的一篇文章引用了最近Gartner的研究结果，该研究显示，虽然97%的组织都有零信任的倡议，但到2026年，只有其中10%将实施可衡量的计划。尽管零信任在降低整体网络风险方面具有巨大的潜力，但这份报告及时提醒我们，它并不是万能的解决方案，特别是在API安全方面。

根据Gartner的说法，零信任的最大挑战在于它主要是一种访问控制方式，在保护现代应用程序各层面受到攻击时并不有效。特别是，在保护API方面扩展零信任是具有挑战性的，这也导致了2023年出现了多起API遭到侵犯的事件，包括T-Mobile和Twitter的遭到泄露。

该文章突出了行业领导者在如何最好地保护API方面的不同观点。Forrester认为，组织应该摒弃传统的基于边界的安全方法来保护API，并将安全嵌入到API开发的生命周期中（这是我所赞同的观点）。然而，其他人持有不同意见——Approov的首席执行官Ted Miracco认为，这种向左移动的API安全方法未能解决现实世界中API安全面临的挑战，他引用了很多遭到攻击的API都有良好身份验证的事实。他的方法是确保API在实时中持续监控威胁。

报告总结认为，零信任是一种有效的风险减少控制措施，但还需要额外的控制措施（特别是连续监控）来加强API的安全姿态。目前来说，最好的方法仍然是安全左移并向右护盾的方式。

小阑解读：

在零信任（Zero Trust）基础上实施API安全措施是保护网络和应用程序免受未经授权访问的重要步骤。

• 身份验证和授权：为每个API请求实施身份验证和授权机制，确保只有经过身份验证和授权的用户或应用程序能够访问API。使用强大的身份验证方法，如多因素身份验证（MFA），来增加安全性。
• 最小权限原则：将最小权限原则应用于API访问控制。为每个用户或应用程序设置最小必要权限，仅允许其访问执行其任务所需的资源和功能。细粒度访问控制可以通过角色、权限组或基于属性的访问控制（ABAC）等方式实现。
• 安全传输：使用加密协议（如HTTPS）来保护API数据的传输。确保所有数据在传输过程中都进行加密，以防止未经授权的拦截和窃取。
• API网关：使用API网关作为API访问的入口点，并在其上实施安全策略。API网关可以处理身份验证、访问控制、流量管理和日志记录等功能，以提供更高级的安全性。
• 审计和监控：实施全面的审计和监控措施，以跟踪API活动并及时检测和响应潜在的安全事件。使用日志记录、报警系统和行为分析工具等技术来监视API的使用情况，并进行及时响应。
• API令牌管理：对API访问进行令牌管理。为每个用户或应用程序发放唯一的API令牌，并定期刷新这些令牌以增强安全性。禁用或撤销不再使用的令牌。
• 漏洞管理：定期进行API安全漏洞评估和渗透测试，发现和修复潜在的安全漏洞。确保API的安全性与最新的安全标准和最佳实践保持一致。

身份验证攻击威胁API安全

在Infosecurity Magazine的一篇文章中，我们将更深入地探讨为什么身份验证攻击会威胁API安全。根据 OWASP 的说法，在 2023 年，身份验证中断仍然是API安全面临的重大挑战。

在 API 实现和客户端，导致 API 身份验证不佳的原因有很多。在实现的情况下，这可能包括简单的缺陷，例如忘记在代码中实现身份验证检查，以及错误地处理和处理 JWT 令牌（例如忘记验证签名）。在此客户端，通过使用弱密码或不安全处理令牌和密钥，可能会削弱身份验证。

可以实施许多建议来强化 API 身份验证，包括：

• 生成复杂的密码和密钥：强制实施要求最小长度和复杂性的密码策略，并确保密钥足够长且不可预测。
• 保护您的密码重置过程：攻击者使用的常见媒介是暴力破解密码重置过程。在密码重置终结点上强制实施速率限制或其他带外质询，以阻止暴力破解的尝试。
• 正确生成令牌：JWT 令牌经常错误生成，包括省略签名或到期日期。
• 强制令牌过期：确保令牌和密钥具有到期日期，并且不会永久保留，以最大程度地减少令牌丢失或被盗的影响。
• 防止令牌和密钥泄露：使用密码管理器或保管库存储密钥，以便第三方无法访问它们。
• 强制实施递增身份验证：访问敏感终结点时，强制实施额外的安全层，例如使用 MFA 或其他质询。
• 确保存在可靠的吊销过程：如果发生泄露，请确保具有可靠的过程，以便能够撤销然后重新颁发受影响的密钥或令牌。

虽然身份验证是最重要的API安全漏洞之一，但是通过遵循相对简单的最佳实践更容易缓解。

小阑建议：

为了预防中断身份验证，可以进行以下方式：

• 实施多因素身份验证（MFA）：在用户进行身份验证时，要求他们提供多个验证因素，例如密码、手机验证码、指纹等。这样即使攻击者获取了一个验证因素，他们仍然需要其他因素来成功通过身份验证。
• 使用安全的密码策略：强制用户创建强密码，并定期更新密码。密码应该具有足够的复杂性，包括大小写字母、数字和特殊字符，并且不应该与个人信息相关联。
• 实施访问限制和登录失败锁定：限制用户尝试登录的次数，并在一定数量的失败尝试后锁定账户一段时间。这可以防止恶意用户使用暴力破解技术来猜测密码。
• 使用会话管理和过期时间：通过设置会话超时时间，确保用户在一段时间后自动注销。这可以减少未经授权的访问并提高安全性。
• 定期审查和更新安全证书和密钥：如果您使用证书或密钥进行身份验证和加密，请确保定期审查和更新它们，以防止被泄漏或滥用。
• 加密数据传输：在身份验证过程中，确保数据的传输是加密的，例如使用HTTPS协议来保护传输的敏感信息。

API安全性无处不在

来自Security Boulevard，介绍了Josh Thorngren关于为什么API安全无处不在的想法。

作者认为API安全性是一个广泛的主题，但定义不明确，这往往会让用户在选择合适的解决方案时感到困惑。

例如，API 安全性的范围可以从使用SAST工具测试API 代码，到尝试使用网络防火墙在运行时保护API。然而，其他供应商则关注管理库存的重要性，以此作为降低API安全风险的途径。

作者描述了Mayhem采用的方法，该方法自动生成并执行针对API的攻击。在投入生产之前执行此类广泛测试的优势在于识别API中的任何漏洞、弱点和数据泄漏。此外，此测试可以识别性能和可靠性问题以及其他异常情况。

本文最后提供了一些提高API安全性的技巧，包括：

• 确保您的身份验证和授权实现设计良好且实施可靠。
• 定期监控 API 使用情况并及时了解漏洞。
• 使用输入验证来防止攻击者滥用您的 API 违背其设计意图。
• 在设计时主动了解 API 安全性，并了解发生泄露时的风险。

小阑解读：

API安全性问题已经成为当今数字化时代的关键议题，因为API已经渗透到了人们的生活和工作的方方面面，无处不在。无论是从熟悉的社交媒体、在线支付到工业自动化和医疗保健，API技术都在支撑着这些应用。但随着API的广泛使用，相应的安全风险也日益凸显。这些风险包括敏感数据的暴露、未经授权的访问、DoS攻击、恶意软件注入等等。而这些风险不仅会对企业的财产、声誉和客户信任造成严重影响，还可能引发更加严重的法律后果。

因此，API安全问题不仅仅是技术问题，也是管理问题、合规问题和商业问题。要保护API的安全，需要采取综合的措施，包括加密、认证、授权、防御性编程、检测和监控等多个方面。只有在这样的综合框架下，API才能够真正做到安全无虞。

感谢 APIsecurity.io 提供相关内容