- 博客(9)
- 收藏
- 关注
RSS订阅原创 API接口漏洞案例—接口文档泄露
本案例是一次在某建材公司的项目实战测试中发现的一个swagger-ui接口文档泄露的漏洞,该漏洞归属于API OWASP TOP 10漏洞类别中的资产管理不当,最后能够通过该接口文档实现漏洞利用的危害最大化,在这里将其作为一个漏洞案例分享出来给大家。
2023-11-02 18:19:39
1173
原创 喜数APISEC&红队助力“铸网2023”
身为“铸网2023”车联网网络安全实网攻防演练技术支撑单位,喜数信息为本次演练活动作为红队以实际运行的信息系统为保障目标(靶标),在保障业务系统稳定运行的前提下,在既定规则内,采用“不限攻击路径,不限攻击手段”,贴合实战的方式尽可能模拟真实的网络攻击,以此来校验信息系统实际安全性和运维保障实际有效性,提高网络安全的综合防控能力,并将通过模拟攻击实现系统提权,控制业务获取数据等,来发现蓝队系统的薄弱环节。本次活动分为两部分,一部分是专题报告以及车联网网络安全创新发展论坛,另一部分是车联网攻防演练活动。
2023-08-30 12:58:04
167
原创 某金融单位喜数apisec蓝队实记
对准备和实施阶段中发现的接口漏洞和异常访问事件,进行全面而详尽的复盘分析。针对API暴露出的不足,协助用户修复或加强安全漏洞和潜在风险。
2023-08-29 15:40:43
136
原创 喜数APISEC助力某政府客户实现API安全加固
某政府单位数据中心有大量涉及个人信息的敏感数据,其数据服务对象主要有三个:一、个人用户数据查询,二、单位工作人员移动设备读取,三、各委办局数据调取比对。目前系统针对网络安全做了大量安全防护工作,具备了较完善的针对网络层的安全分析及防护能力。但在应用层当前仅有WAF能起到有限的安全防护作用。具体到应用程序API及数据层的安全分析防护能力缺失。由于其前端应用数据访问量大,访问来源复杂且不易管理。同时由于其数据的敏感程序高,一旦发生信息泄露,造成的后果非常严重。
2023-08-18 21:48:28
159
原创 喜数API安全服务
包括:API开发规范培训,API资产梳理、异常行为标准制定、异常调用检查、API脆弱性分析、数据分类分级标准制定、数据分类分级、敏感数据检查、规则优化、报告服务等,帮助企业了解、发现、梳理以及展示API资产和API安全风险。喜数在API开发方面,基于国家规定并经过多年的研究和实践,对API开发过程进行了全面的规范,同时对开发人员提供培训和考核服务,以确保他们熟悉并遵守API开发规范,从而提高API的安全性和质量。▪ 设计完善的安全漏洞响应计划,定义明确的漏洞报告和修复流程,以及紧急漏洞修复的时间表。
2023-07-12 17:24:28
174
原创 API接口漏洞案例—接口未授权
本案例是最近在某车企的SRC众测中发现的一个比较常见的API接口未授权漏洞,该接口泄露了大量的客户敏感信息,利用这些敏感信息还可进行更深度的漏洞挖掘。其漏洞危害比较大,故将其作为一个漏洞案例分享出来给大家。
2023-06-08 18:59:24
2516
原创 专注API安全I喜数信息入选《2023年网络安全行业全景图》
据Salt Labs 2023年第一季度《API安全态势研究报告》称,在过去的6个月时间里,API攻击活动数量快速增长了400%,其中有78%的攻击发生在经过初步安全性验证的API上。结果显示我国网络安全行业仍然呈现技术碎片化、多样化发展态势,“专业化、精细化、特色化、新颖化”仍将是创新安全企业未来主要的发展方向。本次入选安全牛《2023年网络安全行业全景图》,是对喜数信息在API安全领域的研究与发展潜力的肯定。我们将秉持“专注API安全,解放创造力”这一信念,进一步打造和完善API全栈安全解决方案。
2023-05-16 12:25:10
233
原创 喜讯IAPISEC荣获信创产品评估证书
上海市软件行业协会信息技术应用创新工作委员会(以下简称:上海软协信创工委会)是由上海经信委指导,涉及行业用户、基础软硬件、云服务、应用软件、信息安全等在内的服务平台,由上海市软件协会秘书长担任工委会干事长,积极推进上海信创公共服务平台的运作,推进信创产品集中适配服务,而喜数信息此次合作的电科数字金融信创攻关基地就是其中一家适配基地,并已开展大量适配验证工作。我们将秉持“专注API安全,解放创造力”这一信念,进一步打造和完善API全栈安全解决方案,致力于成为API安全行业核心技术创新的“领军人”。
2023-05-10 18:27:28
578
原创 【XS安全】如何应对当今API接口面临的安全问题
为了保护自己免受API攻击,Gartner建议采用“在API开发和交付周期中采用连续的方法来实现API安全,并在API中直接设计安全性”。日志和监控不足,再加上事件响应的缺失或无效集成,使攻击者可以进一步攻击系统,长期驻留,并横向移动到更多系统以篡改、提取或破坏数据。与传统的Web应用程序相比,API倾向于公开更多的端点,这使得文档的准确性和及时更新显得尤为重要。在过去的几年中,由于数字化转型以及API在移动应用程序和物联网中的核心作用的推动,API的发展已实现了天文数字的增长。
2023-04-28 13:21:32
261
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人