研究员在微软 Azure API 管理服务中发现3个漏洞

最新推荐文章于 2024-04-24 12:05:04 发布
最新推荐文章于 2024-04-24 12:05:04 发布
阅读量590 收藏
点赞数
文章标签: microsoft azure 安全 网络 web安全
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247516392&idx=3&sn=f563d9d06d17140943a9006f9816fecd&chksm=ea94b182dde33894747c1e2aa9ddbd52a923d8f1cc8ec0edd712caa946b58d97a9ac1bda8ecf&scene=126&sessionid=0
版权

af4d7200d9b10119669469423fd8156f.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

微软 Azure API 管理服务中存在三个新漏洞,可用于获得敏感信息或后端服务的访问权限。

6cf7495a9482f05233dfa1fed38bf5c1.png

以色列安全公司 Ermetic 提到,在这三个漏洞中,两个是服务器端伪造 (SSRF) 漏洞,一个是位于 API 管理开发者门户中不受限的文件上传漏洞。

研究员 Liv Matan 在报告中提到,“攻击者可利用这些SSRF 漏洞发送源自该服务 CORS Proxy 和托管代理本身的请求,访问内部 Azure 资产,拒绝服务并绕过 web 应用防火墙。攻击者可利用文件上传路径遍历漏洞,将恶意文件上传到 Azure 的托管内部工作负载中。”

Azure API Management 是一个多云管理平台,可使组织机构将 API 暴露给外部和内部客户并赋能大量联网体验。在这两个SSRF漏洞中,其中一个是绕过微软部署的类似漏洞的修复方案。另外一个漏洞位于 API Management 代理功能中。

利用这些 SSRF 漏洞可导致机密性和完整性缺失,导致攻击者读取内部 Azure 资源并执行越权代码。开发者门户中的路径遍历漏洞源自对所上传文件类型和路径的验证缺失。

认证用户可利用该漏洞将恶意文件上传到开发者门户服务器,甚至在底层系统上执行任意代码。

这三个漏洞均已修复。

几周前,Orca 公司详述了位于微软 Azure 中的一个“设计缺陷”,它可被用于获得对存储账户的访问权限、在环境中横向移动甚至执行远程代码。更早之前,被称为 EmojiDeploy 的 Azure 漏洞可导致攻击者控制目标应用程序。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

谷歌不慎劫持BGP路由导致日本断网约1小时

五眼联盟发布关于智慧城市网络安全指南,含供应链风险管理

链中链?造成3CX 软件供应链事件的是另外一起供应链事件?

Windows漏洞十年未修复,3CX供应链攻击影响全球60多万家企业

黑客利用 3CX 木马版桌面 app 发动供应链攻击

供应链安全这件事,早就被朱元璋玩明白了

原文链接

https://thehackernews.com/2023/05/researchers-discover-3-vulnerabilities.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

7e90a6f42d09431679dfe3dd7cac63d9.jpeg

3ee9e07332691de49a046c3c702b87b5.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   90dbbc7dcb8968c168b3ff1815989eb0.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
奇安信代码卫士,文件上传漏洞解决demo
04-23
奇安信代码卫士,文件上传漏洞解决demo; #### 文件上传可以参考以下安全需求进行处理: 1. 服务器配置: (1)将上传目录和上传文件设置为不可执行, 杜绝脚本执行。 (2)应保证服务安全,避免文件解析漏洞。 2. 在服务端对上传文件进行检查: (1)使用白名单控制上传文件类型,即只允许指定扩展名的文件上传。 (2)对上传文件后缀与MIME Type进行匹配校验, 对文件头信息与文件后缀进行匹配校验。 (3)对单个文件大小和总文件数进行限制, 避免拒绝服务攻击。 (4)对文件名进行输入校验,显示时进行输出编码。 3. 文件存储: (1)上传文件应保存在指定路径下。 (2)对上传文件进行随机数重命名,避免文件被覆盖。 (3)设置上传文件路径, 使用户不能轻易访问自己上传的文件 。 (4) 文件应尽量保存在内容服务器或web目录外部,避免通过web应用直接访问上传的文件。 4. 对于图片文件进行二次渲染、压缩, 避免图片写马。 5. 校验失败后,记录错误日志信息,内容至少包括时间、用户、IP、操作内容、校验失败
Azure API 管理缺陷突出了 API 开发服务器端请求伪造风险
网络研究观
05-13 8473
近年来,随着公司在生产快速推出 API,针对它们的攻击数量激增,因为攻击者越来越意识到不安全API 可能会提供进入数据库和内部基础设施的后门。
FireEye 红队失窃工具大揭秘之:分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)
smellycat000的专栏
12-17 645
聚焦源代码安全,网罗国内外最新资讯!前言最近,全球领先的网络安全公司 FireEye 疑遭某 APT 组织的攻击,其大量政府客户信息遭越权访问,且红队工具被盗。虽然目前尚不清楚这些红队...
远程云端执行:逐步探寻Azure云基础架构的高危漏洞
systemino的博客
04-10 324
一、概述 谈到云安全,我们就不得不提到,一部分客户往往盲目地信任云服务商自身提供的安全保障,而不再做额外的防护。纵观近几年来爆出的流行云漏洞,也许大家会认为,其大多数漏洞都集在客户端应用程序安全性上(包括不正确的配置或应用程序自身存在漏洞),而云服务商的基础架构本身则很少出现漏洞。但是,我们希望大家能够明白,云基础架构往往并不是绝对安全的。在本文,我们将展示在Azure Stack上发现的...
详细分析 Sonlogger 任意文件上传漏洞 (CVE-2021-27964)
smellycat000的专栏
05-08 705
聚焦源代码安全,网罗国内外最新资讯!概述Sonlogger 是土耳其SFC 公司 开发的一款应用软件,兼容土耳其《第5651号法》,是一款基于 Web 的 SonicWall 防火墙设备...
一个在Azure上部署微服务项目的经验分享
02-25
本文讲述了动态在线文档SaaS产品(以下简称DynamicPPTService)在前期云平台选型的考虑因素、业务发展后出现的问题,以及系统迁移到AzureServiceFabric平台上进行微服务化的实施过程。最终,技术团队实现了用微服务...
vscode-apimanagement:用于Azure API管理的VS代码扩展
01-29
使用Azure API Management扩展可以在Azure API Management服务实例上执行常规管理操作,而无需切换到Visual Studio Code。 是一项完全托管的服务,可帮助客户向外部和内部使用者安全地公开其APIAPI管理充当API...
Azure上创建Web API服务以获取推文
04-04
创建获取推文的Web API服务并将其托管在Windows Azure上。
api-management-developer-portal:Azure API管理开发人员门户
01-30
Azure API管理开发人员门户 此存储库由团队并包含开发人员门户的源代码。 设置和扩展自托管门户的说明位于。 如果要在开发人员门户网站上查找常规信息或文档,请参阅。 发布 该存储库的master分支用于日常开发目的...
第六十二章 IIS 7 或更高版本的替代选项 (Windows) - 替代选项 4:将 CGI 模块与 NSD 结合使用
yaoxin521123的博客
04-24 360
在大多数情况下,基于全包本机模块的解决方案(推荐选项)是首选选项,并且是提供最佳性能的实现。混合适用于出于操作原因需要独立于托管 Web 服务器来管理 Web 网关的情况。在使用这些模块之前,必须将它们注册为“允许”的应用程序。服务器,使其识别文件类型并将它们传递到。服务器进程的每个实例都绑定到其自己的。选择此方法的另一个因素可能是您的。服务器的多个实例要共享同一个。) 管理器控制面板完成的。服务的说明进行操作。)的内部要求规定所有。
指令和界面【Linux】
qq_74013365的博客
04-23 917
Linux操作系统提供了丰富的命令行界面和图形用户界面工具,用户可以根据自己的需求选择适合的界面进行操作。命令行界面更加灵活和高效,适合熟悉命令的用户;图形用户界面更加直观和友好,适合新手用户。严格意义上讲,光光学习Linux操作是远远不够的。还有系统,网络
【设计模式】使用介者模式优化表单交互
最新发布
锋利的绵羊的博客
04-24 335
在程序里,也许一个对象会和其他 10 个对象打交道,所以它会保持 10 个对象的引用,并且自己维护与其他对象的交互逻辑。当程序的规模增大,对象会越来越多,它们之间的关系也越来越复杂,难免会形成网状的交叉引用。介者模式的作用就是解除对象与对象之间的紧耦合关系。增加一个介者对象后,所有的相关对象都通过介者对象来通信,而不是互相引用所以当一个对象发生改变时,只需要通知介者对象即可。在介者模式里,对象之间几乎不知道彼此的存在,它们只能通过介者对象来互相影响对方。
微软开源了Phi-3-mini适用于移动硬件设备
haleycat的博客
04-24 989
微软最新开源的小参数大语言模型Phi-3-mini,包括其架构特点、训练数据、性能测试以及未来发布计划。该模型拥有38亿参数,占用内存少,且在语言理解、编码和数学等方面表现出色。微软还计划发布更小型的Phi-3-small和Phi-3-medium模型。开源地址:https://huggingface.co/collections/microsoft/phi-3-6626e15e9585a200d2d761e3Ollama地址:https://ollama.com/library/phi3。
小扎宣布开放 Meta Horizo​​n OS
u012842807的专栏
04-23 1154
在我们过去成功的合作伙伴关系的基础之上,联想将Meta Horizon OS与我们在个人计算领域的领导和创新结合起来,以加快在混合现实采用新的用户场景,如虚拟屏幕、远程呈现、内容消费和沉浸式培训。华硕表示:“我们受到了围绕虚拟现实和混合现实形成的令人难以置信的游戏社区的启发,我们知道最有激情的玩家都想要高性能硬件。日前,Meta以“混合现实的新时代”为题的博文宣布向第三方制造商开放Meta Horizon OS,包括华硕、联想和。高通制造的骁龙处理器与Meta的软件和硬件堆栈紧密集成,而高通最新的。
生成式AI在B端产品的应用分析
mrjieke6的博客
04-23 972
AI产品发展到现在,消费端的产品应用还受到比较大的限制;但是在B端,已经有了不错的表现。作者总结了AI产品在B端的几款应用,一起来看看表现如何。生成式AI在B端产品的应用分析© 由 ZAKER 提供随着今年生成式AI应用的大范围涌现,B端产品也面临转型的机遇和挑战。接下来我会从不同角度分析生成式AI在B端应用场景,希望可以给大家提供一些参考和启发。
Azure AKS集群监控告警表达式配置
RayPick的博客
04-23 746
id就是我们要的clusterID,然后替换下面的clusterID字段内容。最后的 percentage 也需要根据实际情况来设置对应值。
安装SSL证书之后还会有不安全提示怎么办?
JoySSL230907的博客
04-20 806
在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。- 证书链完整性:确保您不仅安装了主证书,还包含了所有必要的间证书。缺少间证书可能导致浏览器认为证书不可信。- 清除浏览器缓存:浏览器可能缓存了旧的或错误的证书信息,清除缓存有助于加载新安装的证书。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。
如何在Android应用安全地使用SQLite数据库,并通过SQLCipher进行加密保护
轻描时光
04-23 72
Android内置SQLite轻量级关系型数据库,可以在Android应用存储、检索和管理结构化数据。SQLite是一个无服务器的、零配置的、事务性的SQL数据库引擎,非常适合用于移动设备和桌面应用程序。:SQLite不需要单独的服务器进程或操作系统级别的配置。可以直接读写磁盘上的文件,非常高效且适合在资源有限的移动设备上使用。:SQLite支持ACID事务,提供了原子性、一致性、隔离性和持久性。保证了即使在发生故障的情况下,数据的完整性也能得到维护。
微软服务Azure
07-28
微软服务Azure是一个全面的云计算平台,提供了多种基于云的计算服务来构建和运行应用程序。其包括虚拟服务器、应用服务、Service Fabric、云服务Azure Functions等。Azure Service Fabric是一种分布式系统平台...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值