Parler的API漏洞
美國最近的政治鬧劇也影響到了科技公司,并導致被發現了API漏洞,在特朗普支持者中很受歡迎的類似Twitter的社交網路Parler有70 TB的資料因為不安全的api被竊取,
從各種文章和討論線索來看,似乎發生了以下情況:
1.Parler正在使用Twilio驗證密碼重置帳戶,
2.Twilio決定停止為Parler服務,賬戶驗證被洗掉
3.攻擊者能夠接管Parler的一些管理賬戶,
4.攻擊者使用這些帳戶在系統中創建更多管理員,
5.被劫持的和新的管理員帳戶被用來訪問和抓取用戶發布在Parler上的帖子、圖片和視頻等,
Parler 上帖子的id是連續的,因此攻擊者很容易將它們全部列舉出來,圖片和視頻檔案可以原始格式訪問,其中包括所有元資料比如位置資訊,
不僅如此,即使是被洗掉的帖子也仍然可以抓取到:當用戶洗掉一篇帖子時,Parler實際上并沒有洗掉內容,只是將其標記為已洗掉,并將其放在視線之外,
這些都是嚴重的安全缺陷,
因此,不管你的政治觀點如何,這里的教訓有幾個可以讓你留心的點:
?身份驗證是安全的關鍵,應該包含訪問帳戶的所有方式,包括密碼重置,
?使用有序的標識并開放,很容易通過列舉和爬取記錄下來,所以要改用隨機ID
?不要存盤任何不需要或不應該存盤的資料,保存的資料越少,風險就越小,
?監控、記錄和事件處理流程有助于在發生違規時采取快速緩解措施,
避免被通過API獲取用戶資料
必須承認,在大多數企業嘗試或正在進行數字化轉型的今天,API承載了企業職能部門之間,甚至企業和客戶、合作伙伴之間的系統的資料,因此,毫無疑問API會受到攻擊者更多的“照顧”,對應的API的安全性需要得到更多的關注,
那么如何保護我們的API呢?最直接的當然是自己部署一個API網關工具了,
舉個最簡單的例子,在上述的新聞中,你可以通過API網關,對API呼叫次數做一個限制,以指定秒、分鐘、天或其他相關約束的消耗量,達到上限后可以通過郵件或其他形式發出預警,同時,當下較流行的微服務網關還可以處理包含負載均衡,快取,路由,訪問控制,服務代理,監控,日志等事項,
API網關選擇
現在的亞馬遜、阿里、騰訊云都在提供基礎公有云的API網關,基本使用是沒有問題的,但是相比于公有云,更推薦找開源的私有云API網關,可以部署在自己的服務器上,更好地保證企業自身的資料安全,
如果選擇私有云方案,筆者推薦的是Kong和Eolinker,Kong是當前市面上使用得最多的API網關工具,筆者之前使用的也是Kong,之后因為同事的推薦,換成了國產的Eolinker,和Kong的使用體驗比較接近,而且是組織開發而不是個人開發,后續出現問題也容易找到人咨詢解答,
Kong:https://konghq.com/
Eolinker:https://www.eolinker.com
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/254342.html
標籤:其他
上一篇:【vulnhub】靶機-【DC系列】DC9(附靶機)
下一篇:介面檔案在專案中的作用