API Security Weekly: Sự cố số 66

Tuần này, chúng tôi sẽ kiểm tra xem một số lỗ hổng API trong TikTok có thể dẫn đến việc những kẻ tấn công chiếm đoạt tài khoản mạng xã hội như thế nào và cách một plugin quản trị cho WordPress có API cho phép bỏ qua xác thực. Trong một tin khác, hội nghị bảo mật OWASP sẽ bắt đầu vào tuần tới tại California và chúng ta cùng xem xét các xu hướng bảo mật API vào năm 2020.

Lỗ hổng bảo mật: TikTok

Check Point Research đã phát hiện ra một danh sách đáng kinh ngạc về các lỗ hổng API trong TikTok , ứng dụng truyền thông xã hội rất phổ biến:

• Một API bị lộ đã cho phép giả mạo SMS, vì vậy những kẻ tấn công có thể liên hệ với bất kỳ người dùng nào thay mặt TikTok bằng các liên kết đến trang web độc hại của họ.
• Xác thực regex không đủ cho phép chuyển hướng đến các URL của kẻ tấn công, từ đó mở ra cánh cửa cho các cuộc tấn công tiếp theo, chẳng hạn như Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF).
• Không có biện pháp bảo vệ chống lại CSRF cho phép những kẻ tấn công thực hiện các hành động thay mặt người dùng, chẳng hạn như xóa hoặc thêm video, đặt video riêng tư ở chế độ công khai, truy cập thông tin hồ sơ người dùng, v.v.

Check Point Research mô tả tất cả các khai thác trong bài đăng chi tiết tuyệt vời của họ. Tin tốt là TikTok đã sửa chúng.

Bạn cũng có thể muốn đọc:  Bảo mật API (Sách điện tử miễn phí)

Lỗ hổng bảo mật: Ứng dụng khách InfiniteWP dành cho WordPress

Một lỗ hổng bảo mật API với bỏ qua xác thực đã được tìm thấy trong một plugin InfiniteWP Client phổ biến . Plugin được cài đặt trên hơn 300 nghìn trang web, do đó, tác động là đáng kể.

Plugin cung cấp khả năng quản lý WordPress từ xa. Do đó, có các thành phần máy khách và máy chủ giao tiếp với nhau thông qua API.

Sử dụng API điển hình yêu cầu xác thực. Tuy nhiên, có một tình huống - tạo trang web mới - mà quyền truy cập quản trị viên tạm thời được cấp thông qua lệnh gọi API POST với tải trọng {"iwp_action":"add_site","params":{"username":"admin"}}.

Những kẻ tấn công có thể sử dụng cuộc gọi này để giành quyền truy cập và do đó bỏ qua các kiểm tra xác thực cho các hoạt động khác.

Lỗ hổng này là một ví dụ khác về lý do tại sao tường lửa ứng dụng web (WAF) không đủ cho các lỗ hổng API. Như bài đăng trên Wordfence thừa nhận, không có cách nào để phân biệt các cuộc gọi độc hại ngoài các cuộc gọi hợp pháp, do đó, một quy tắc tường lửa đơn giản là không đủ để khắc phục sự cố. Họ đã phải phát hành một bản cập nhật mới với chức năng cụ thể có thể phân biệt giữa việc sử dụng hợp pháp và độc hại bằng cách phân tích trạng thái nội bộ của WordPress.

Hội nghị: AppSec California 2020

Một trong những sự kiện OWASP chính của năm, OWASP AppSec California 2020 , diễn ra vào tuần tới, ngày 21-24 tháng 1, tại Santa Monica, CA.

Đây là một hội nghị tuyệt vời về an ninh mạng nói chung và chương trình bao gồm một số phiên bảo mật API bao gồm:

• Xây dựng các ứng dụng web và API an toàn của Jim Manico
• Tấn công và bảo vệ các ứng dụng bị giam giữ và Công nghệ không máy chủ của Tilak Thimmappa và Nithin Jois
• Hỗ trợ DevSecOps bảo vệ API vi chu vi bởi Lukasz Radosz
• OAuth 2.0 Thực hiện sai, lỗ hổng và các phương pháp hay nhất của Pak Foley
• Đạt được quyền riêng tư của API do AI hỗ trợ bằng cách sử dụng Nguồn mở của Gianluca Brigandi
• JWT Parkour của Louis Nyffenegger
• Bạn có đang sử dụng JWT đúng cách không? bởi Dmitry Sotnikov

Đăng ký vẫn còn mở, vì vậy nếu bạn ở xung quanh và quan tâm, rất khuyến khích.

Ý kiến: Bảo mật API vào năm 2020

Ericka Chickowski tham gia dàn hợp xướng của các chuyên gia ca ngợi bảo mật API là mối quan tâm hàng đầu đối với an ninh mạng vào năm 2020.

Trong bài viết của mình, Chickowski biên soạn các số liệu thống kê và xu hướng mới nhất liên quan đến lan truyền API và bảo mật API, đồng thời cũng nói về dự án OWASP API Security Top 10 .

Bạn có thể đăng ký nhận bản tin này tại APIsecurity.io .

Đọc thêm

5 nguyên tắc bảo mật REST API hàng đầu

REST API bảo mật