程序员征服安全 OWASP 十大 API 系列-资产管理不当
与OWASP API前十名中的大多数漏洞不同,不当的资产管理并不专门以编码缺陷为中心。相反,这个漏洞更像是人为问题或管理问题,它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。如果仍在开发中的 API 在完全抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,该漏洞尤其难以管理。在这种环境中,新服务可能会迅速启动以满足临时需求,然后被遗忘并且永远不会停用。如果将较旧的 API 与生产环境保持连接,则可能会危及整个网络。
想尝试游戏化挑战这个安全漏洞吗?走进我们的竞技场: [从这里开始]
不当的资产管理漏洞如何影响 API?
不当的资产管理漏洞是现代的产物。以业务速度发展的组织有时每天可以启动成百上千的服务和微服务。这通常可以快速完成,无需创建任何附带文档,也无需解释相关 API 的用途、需要多长时间或其重要性。这会迅速产生 API 蔓延,随着时间的推移可能会变得无法控制,尤其是在没有一揽子政策来定义 API 可以存在多长时间的情况下。
在这种环境中,某些 API 很可能会丢失、被遗忘或从未停用。
有权在正常流程之外创建新服务的用户有时也是罪魁祸首。例如,营销小组可能会创建一项服务来帮助支持即将举行的活动,例如产品发布会,然后再也不会在活动结束后将其撤回。稍后查看该服务及其关联API的人可能不知道它们为什么存在,如果没有文档,它可能仍然是个谜。他们可能不愿意将这些 API 从生产环境中移除,甚至将其升级到新版本,因为他们不知道它们有多重要,也不知道它们在做什么。
该漏洞变得危险,因为框架中 API 的安全性会随着时间的推移而提高。研究人员可能会发现漏洞,或者可以增加额外的安全措施来阻止越来越流行的攻击。除非升级,否则较旧的API可能仍然容易受到这些攻击,因此黑客通常会搜索它们或使用自动化工具来寻找它们。
在 OWASP 提供的真实示例中,一家公司升级了用于搜索用户数据库的 API,以修补关键缺陷。但是他们错误地将旧的 API 留在原处。
攻击者注意到新 API 的位置类似于 (api.criticalservice.com/v2)。通过将网址替换为(api.criticalservice.com/v1),他们得以改用存在已知漏洞的旧 API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理漏洞
消除环境中不当资产管理漏洞的唯一方法是严格清点所有 API 及其用途和版本。这应该从清点现有 API 开始,重点关注诸如应将它们部署到哪个环境(例如生产或开发)、谁应该有网络访问权限,当然还有它们的版本等因素。
完成后,您需要实现一个流程,将文档自动添加到创建的任何新 API 或服务中。这应包括API的所有方面,包括速率限制、它如何处理请求和响应、资源共享、它可以连接到哪些端点、适用的任何相关政策,以及以后对其进行审计所需的任何其他内容。您还应避免在生产环境中使用非生产 API 或来自开发环境的 API。还可以考虑为API增加时间限制,其所有者必须证明继续使用API的合理性,以防止自动停用。
每当有新版本的活动 API 可用时,都要进行风险评估,以确定是否应该升级,以及该过程应如何进行,以避免中断生产环境。迁移到新 API 后,将旧 API 完全从环境中移除。
所有这些都有助于防止不当的资产管理漏洞损害您的组织、用户或网络。来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
该漏洞更像是人为问题或管理问题,它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
与OWASP API前十名中的大多数漏洞不同,不当的资产管理并不专门以编码缺陷为中心。相反,这个漏洞更像是人为问题或管理问题,它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。如果仍在开发中的 API 在完全抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,该漏洞尤其难以管理。在这种环境中,新服务可能会迅速启动以满足临时需求,然后被遗忘并且永远不会停用。如果将较旧的 API 与生产环境保持连接,则可能会危及整个网络。
想尝试游戏化挑战这个安全漏洞吗?走进我们的竞技场: [从这里开始]
不当的资产管理漏洞如何影响 API?
不当的资产管理漏洞是现代的产物。以业务速度发展的组织有时每天可以启动成百上千的服务和微服务。这通常可以快速完成,无需创建任何附带文档,也无需解释相关 API 的用途、需要多长时间或其重要性。这会迅速产生 API 蔓延,随着时间的推移可能会变得无法控制,尤其是在没有一揽子政策来定义 API 可以存在多长时间的情况下。
在这种环境中,某些 API 很可能会丢失、被遗忘或从未停用。
有权在正常流程之外创建新服务的用户有时也是罪魁祸首。例如,营销小组可能会创建一项服务来帮助支持即将举行的活动,例如产品发布会,然后再也不会在活动结束后将其撤回。稍后查看该服务及其关联API的人可能不知道它们为什么存在,如果没有文档,它可能仍然是个谜。他们可能不愿意将这些 API 从生产环境中移除,甚至将其升级到新版本,因为他们不知道它们有多重要,也不知道它们在做什么。
该漏洞变得危险,因为框架中 API 的安全性会随着时间的推移而提高。研究人员可能会发现漏洞,或者可以增加额外的安全措施来阻止越来越流行的攻击。除非升级,否则较旧的API可能仍然容易受到这些攻击,因此黑客通常会搜索它们或使用自动化工具来寻找它们。
在 OWASP 提供的真实示例中,一家公司升级了用于搜索用户数据库的 API,以修补关键缺陷。但是他们错误地将旧的 API 留在原处。
攻击者注意到新 API 的位置类似于 (api.criticalservice.com/v2)。通过将网址替换为(api.criticalservice.com/v1),他们得以改用存在已知漏洞的旧 API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理漏洞
消除环境中不当资产管理漏洞的唯一方法是严格清点所有 API 及其用途和版本。这应该从清点现有 API 开始,重点关注诸如应将它们部署到哪个环境(例如生产或开发)、谁应该有网络访问权限,当然还有它们的版本等因素。
完成后,您需要实现一个流程,将文档自动添加到创建的任何新 API 或服务中。这应包括API的所有方面,包括速率限制、它如何处理请求和响应、资源共享、它可以连接到哪些端点、适用的任何相关政策,以及以后对其进行审计所需的任何其他内容。您还应避免在生产环境中使用非生产 API 或来自开发环境的 API。还可以考虑为API增加时间限制,其所有者必须证明继续使用API的合理性,以防止自动停用。
每当有新版本的活动 API 可用时,都要进行风险评估,以确定是否应该升级,以及该过程应如何进行,以避免中断生产环境。迁移到新 API 后,将旧 API 完全从环境中移除。
所有这些都有助于防止不当的资产管理漏洞损害您的组织、用户或网络。来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
与OWASP API前十名中的大多数漏洞不同,不当的资产管理并不专门以编码缺陷为中心。相反,这个漏洞更像是人为问题或管理问题,它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。如果仍在开发中的 API 在完全抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,该漏洞尤其难以管理。在这种环境中,新服务可能会迅速启动以满足临时需求,然后被遗忘并且永远不会停用。如果将较旧的 API 与生产环境保持连接,则可能会危及整个网络。
想尝试游戏化挑战这个安全漏洞吗?走进我们的竞技场: [从这里开始]
不当的资产管理漏洞如何影响 API?
不当的资产管理漏洞是现代的产物。以业务速度发展的组织有时每天可以启动成百上千的服务和微服务。这通常可以快速完成,无需创建任何附带文档,也无需解释相关 API 的用途、需要多长时间或其重要性。这会迅速产生 API 蔓延,随着时间的推移可能会变得无法控制,尤其是在没有一揽子政策来定义 API 可以存在多长时间的情况下。
在这种环境中,某些 API 很可能会丢失、被遗忘或从未停用。
有权在正常流程之外创建新服务的用户有时也是罪魁祸首。例如,营销小组可能会创建一项服务来帮助支持即将举行的活动,例如产品发布会,然后再也不会在活动结束后将其撤回。稍后查看该服务及其关联API的人可能不知道它们为什么存在,如果没有文档,它可能仍然是个谜。他们可能不愿意将这些 API 从生产环境中移除,甚至将其升级到新版本,因为他们不知道它们有多重要,也不知道它们在做什么。
该漏洞变得危险,因为框架中 API 的安全性会随着时间的推移而提高。研究人员可能会发现漏洞,或者可以增加额外的安全措施来阻止越来越流行的攻击。除非升级,否则较旧的API可能仍然容易受到这些攻击,因此黑客通常会搜索它们或使用自动化工具来寻找它们。
在 OWASP 提供的真实示例中,一家公司升级了用于搜索用户数据库的 API,以修补关键缺陷。但是他们错误地将旧的 API 留在原处。
攻击者注意到新 API 的位置类似于 (api.criticalservice.com/v2)。通过将网址替换为(api.criticalservice.com/v1),他们得以改用存在已知漏洞的旧 API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理漏洞
消除环境中不当资产管理漏洞的唯一方法是严格清点所有 API 及其用途和版本。这应该从清点现有 API 开始,重点关注诸如应将它们部署到哪个环境(例如生产或开发)、谁应该有网络访问权限,当然还有它们的版本等因素。
完成后,您需要实现一个流程,将文档自动添加到创建的任何新 API 或服务中。这应包括API的所有方面,包括速率限制、它如何处理请求和响应、资源共享、它可以连接到哪些端点、适用的任何相关政策,以及以后对其进行审计所需的任何其他内容。您还应避免在生产环境中使用非生产 API 或来自开发环境的 API。还可以考虑为API增加时间限制,其所有者必须证明继续使用API的合理性,以防止自动停用。
每当有新版本的活动 API 可用时,都要进行风险评估,以确定是否应该升级,以及该过程应如何进行,以避免中断生产环境。迁移到新 API 后,将旧 API 完全从环境中移除。
所有这些都有助于防止不当的资产管理漏洞损害您的组织、用户或网络。来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
与OWASP API前十名中的大多数漏洞不同,不当的资产管理并不专门以编码缺陷为中心。相反,这个漏洞更像是人为问题或管理问题,它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。如果仍在开发中的 API 在完全抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,该漏洞尤其难以管理。在这种环境中,新服务可能会迅速启动以满足临时需求,然后被遗忘并且永远不会停用。如果将较旧的 API 与生产环境保持连接,则可能会危及整个网络。
想尝试游戏化挑战这个安全漏洞吗?走进我们的竞技场: [从这里开始]
不当的资产管理漏洞如何影响 API?
不当的资产管理漏洞是现代的产物。以业务速度发展的组织有时每天可以启动成百上千的服务和微服务。这通常可以快速完成,无需创建任何附带文档,也无需解释相关 API 的用途、需要多长时间或其重要性。这会迅速产生 API 蔓延,随着时间的推移可能会变得无法控制,尤其是在没有一揽子政策来定义 API 可以存在多长时间的情况下。
在这种环境中,某些 API 很可能会丢失、被遗忘或从未停用。
有权在正常流程之外创建新服务的用户有时也是罪魁祸首。例如,营销小组可能会创建一项服务来帮助支持即将举行的活动,例如产品发布会,然后再也不会在活动结束后将其撤回。稍后查看该服务及其关联API的人可能不知道它们为什么存在,如果没有文档,它可能仍然是个谜。他们可能不愿意将这些 API 从生产环境中移除,甚至将其升级到新版本,因为他们不知道它们有多重要,也不知道它们在做什么。
该漏洞变得危险,因为框架中 API 的安全性会随着时间的推移而提高。研究人员可能会发现漏洞,或者可以增加额外的安全措施来阻止越来越流行的攻击。除非升级,否则较旧的API可能仍然容易受到这些攻击,因此黑客通常会搜索它们或使用自动化工具来寻找它们。
在 OWASP 提供的真实示例中,一家公司升级了用于搜索用户数据库的 API,以修补关键缺陷。但是他们错误地将旧的 API 留在原处。
攻击者注意到新 API 的位置类似于 (api.criticalservice.com/v2)。通过将网址替换为(api.criticalservice.com/v1),他们得以改用存在已知漏洞的旧 API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理漏洞
消除环境中不当资产管理漏洞的唯一方法是严格清点所有 API 及其用途和版本。这应该从清点现有 API 开始,重点关注诸如应将它们部署到哪个环境(例如生产或开发)、谁应该有网络访问权限,当然还有它们的版本等因素。
完成后,您需要实现一个流程,将文档自动添加到创建的任何新 API 或服务中。这应包括API的所有方面,包括速率限制、它如何处理请求和响应、资源共享、它可以连接到哪些端点、适用的任何相关政策,以及以后对其进行审计所需的任何其他内容。您还应避免在生产环境中使用非生产 API 或来自开发环境的 API。还可以考虑为API增加时间限制,其所有者必须证明继续使用API的合理性,以防止自动停用。
每当有新版本的活动 API 可用时,都要进行风险评估,以确定是否应该升级,以及该过程应如何进行,以避免中断生产环境。迁移到新 API 后,将旧 API 完全从环境中移除。
所有这些都有助于防止不当的资产管理漏洞损害您的组织、用户或网络。来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
