starcross_2022-CSDN博客

原创 API NEWS | API进化下的威胁升级：攻击速度刷新纪录

说明不安全的第三方API可能会导致系统遭受攻击，企业需要加强安全意识，选择可信赖的服务提供商，进行充分的安全测试和验证，限制API的权限并监控API的使用情况，可以保障系统的安全性。总结一下，OWASP API TOP10这些趋势变化反映出了特定的API攻击威胁突出化，说明在信息化和数字化快速发展的时代，传统的身份验证方式已经无法满足日益增长的安全需求，需要采用更多元化、智能化的身份认证方式来提高系统、服务、数据的安全性。说明在实际应用中，很多企业缺乏对自动化攻击的防护措施，存在一定的安全风险。

2023-07-06 11:53:41 162 1

原创 WebSocket API安全风险解读

服务器可以采用任何 HTTP 服务器的客户端身份认证机制，如 cookie认证，HTTP 基础认证，TLS 身份认证等，在WebSocket API在身份认证面临的攻击风险和传统的API面临的风险是一样的，因此WebSocket API同样面临着OWASP API 2023十大安全风险中的API2：身份认证失效风险。应用程序自定义的HTTP标头引入的攻击面。游戏应用程序：在游戏应用中，一般的场景是服务器需要不断接收数据，无需刷新UI，传输的数据就会在屏幕上生效，UI也会自动刷新，不需要建立新的连接。

2023-07-03 17:48:30 181 1

原创 6月API安全漏洞报告

为了修复这个问题，Argo CD发布了版本2.6.0-rc5、2.5.8、2.4.20和2.3.14中的补丁，引入了一个新的功能——“允许受众”，允许用户指定他们想要允许的受众。Joomla Rest API 未授权访问漏洞（CVE-2023-23752），是由于Joomla对Web服务端点的访问控制存在缺陷，鉴权存在错误，导致未经身份认证的攻击者可构造恶意请求未授权访问RestAPI 接口，造成敏感信息泄漏，获取Joomla数据库相关配置信息。攻击者可以通过利用未授权的访问权限，在服务器上执行恶意代码。

2023-06-30 15:06:14 269

原创 Playwright 入门教程

在当前工作目录或子目录内部，创建默认情况下，测试运行在 chromium 上，可通过 CLI 选项进行配置，测试以 Headless 模式运行。测试结果和测试日志被展示在终端中。

2023-06-27 15:36:50 422 1

原创 API NEWS | 凭证泄漏导致API漏洞上升

因为很多公司正在自己构建API作为产品，以部署Web，移动客户端，物联网和其它应用程序，在整个过程中的每一步都须正确保护，API网关是最有效的解决方案之一。建议的最佳实践是使用特定的API测试来检测众所周知的漏洞类型（如损坏的对象级别授权和损坏的身份验证），主要是使用自动化测试（专用的API安全扫描工具）或通过定制渗透测试。目前，最受欢迎的网关验证协议是OAuth，它充当访问基于Web的资源的代理而不向服务公开密码，基于密钥的身份验证在用于企业时，也有丢失数据的案例，还不能百分之百保证密钥完全保密。

2023-06-26 12:44:34 82 1

原创 API NEWS | Booking.com爆出API漏洞

以人为本的修复是API安全性的关键，因为它能够确保开发人员具备正确的安全知识和技能，并且能够在编写代码时遵循最佳的安全实践，从而有效地预防和解决API安全问题。而且，以人为本的修复方法，可以帮助开发团队更好地理解API的安全需求，并增强对其重要性的认识。经过培训和教育的开发人员，可以更加精通基础的安全知识和最佳实践，从而更好地理解API的安全问题，并且能够在编码期间，来确保API的安全性。因此，需要有经验的专业人员来管理API的行为，以及解决可能存在的安全问题。

2023-06-16 14:17:06 95

原创 RBAC 和 Keto（Go RBAC 框架）

这可能是关于主体集合（subject set）的结构的知识，比如深度或层级，或 UI 上下文，比如“我的项目”视图应该包含“我的组织”或“与我共享”视图以外的其它对象。这样做的好处是，不必在每次创建用户时都分配权限，只要给用户分配相应的角色即可，并且角色的权限变更比用户的权限变更要少得多，这将简化用户的权限管理，减少系统开销。该图由三种类型的节点组成：代表应用程序对象的对象（Object）节点，中间主体集合（subject set）节点，代表个体的主体 ID（subject ID）节点。

2023-06-15 15:06:22 267

原创银行API安全解决方案

标准规定了商业银行应用程序接口（API）的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求，贯穿API的整个生命周期。基于人工智能的安全规则制定可以实现更加精准和自适应的API安全防御，建立基于API使用数据的用户画像和行为模型，进行精细化的身份认证和访问控制，通过对API使用数据的分析和整合，可以建立API行为模型和用户画像，并进行自动学习和调整，从而实现更加精准的安全规则制定和更新，提高API的安全性能和效率。

2023-06-13 12:41:44 200 1

原创浅谈API安全与人工智能生态

随着人工智能技术的不断发展，API接口安全问题也日益凸显。API接口是现代互联网服务的核心组成部分，它提供了网络应用程序之间相互通信的方法，使得不同的软件和系统能够无缝地集成在一起，这为业务的快速部署和实现带来了巨大的便利性。然而，由于API接口开放性和易于使用的特点，同时也给黑客攻击者提供了可乘之机。攻击者可以通过恶意请求和注入攻击等手段，对API接口进行攻击，从而获取敏感数据或直接导致系统崩溃。因此，保障API接口的安全性成为了保护企业信息安全的重要组成部分。

2023-06-12 14:59:29 235

原创 APISIX Ingress 控制器的安装及原理

APISIX 是动态、实时、高性能的 API 网关。它提供丰富的流量管理功能，比如负载均衡、动态上游、金丝雀发布、熔断、认证、可观测性等。既可以使用 APISIX API 网关处理传统的南北向流量，也可以使用它处理服务间的东西向流量。同时，它也可被用作 Kubernetes Ingress 控制器。APISIX Ingress 控制器提供 Helm 安装方式，但是使用原生 YAML 安装，更加有助于理解其原理。使用原生 YAML 安装 APISIX 和 APISIX Ingress 控制器。

2023-06-09 18:23:04 601

原创 OpenSSL 是什么？

根据 HTTPS 的工作原理，浏览器在访问 HTTPS 站点时，先与服务器建立 SSL/TLS 连接，建立连接的第一步是请求服务器的证书，而服务器在发送证书时，不知道浏览器访问的是哪个域名，所以不能根据不同的域名发送不同的证书。证书最初生成时，是一个自签名证书，自签名证书是签名者（Issuer）和主题（Subjet）相同的证书（即用证书自己的公钥对证书的签名进行认证）。证书链可以拥有任意环节的长度。在三节的证书链中，信任锚证书可以对中间证书进行签名，中间证书的拥有者可以用自己的私钥对另一个证书进行签名。

2023-06-08 13:25:34 1216 1

原创 API NEWS | Money Lover爆出潜在API漏洞

该管理运营平台的API漏洞风险点，在于攻击者可以利用安全性较差的API接口入侵系统，完全访问丰田内部的项目、文档和用户账户，包括供应商和外部合作伙伴的账户，甚至能够访问机密文件和项目。攻击者可以添加自己的账户，并在不被发现的情况下永久访问丰田的数据，影响公司全球运营，带来严重的财务和声誉损失。文章阐述的API漏洞主要是失效的对象级授权，让攻击者可以利用失效的对象级别授权的API端点，通过操纵在请求中发送的对象访问未经授权的敏感数据。幸运的是，丰田很快就修复了这个漏洞，成功地保护了公司和客户的信息安全。

2023-06-05 16:29:28 118 1

原创 5月这几个API安全漏洞值得注意！

Strapi是一种灵活的、开放源码的无头CMS，开发者可以自由选择自己喜欢的工具和框架，编辑器也可以轻松地管理和分发内容。Twitter API漏洞被称为PII（个人身份信息）和社会工程的金矿，是因为这些漏洞可能导致泄露大量用户的私密信息，从而使攻击者能够利用这些信息进行进一步的攻击。微软官方发布公告称，其.NET Core 2.1、3.1和5.0版本中存在一个漏洞（CVE-2023-31479），攻击者可以利用该漏洞在受影响的系统上查询、编辑、删除或添加文件（包括重要文件），从而导致系统被入侵的风险。

2023-06-02 15:43:27 126

原创 API NEWS | 三个Argo CD API漏洞

同时，通过使用这些特定的工具和技术，可以更好地发现和解决API中存在的安全漏洞或问题，确保API系统稳定、可靠、安全。来自Curity的分享，是一篇关于分布式标识的文章。星阑科技基于AI深度感知和强大的自适应机器学习技术，帮助用户迅速发现并解决面临的安全风险和外部威胁，并凭借持续的创新理念和以实战攻防为核心的安全能力，发展成为国内人工智能、信息安全领域的双料科技公司。对于每个API网关的维护和更新都需要进行独立的安全审计和更新，这可能会导致遗漏漏洞或错误配置的情况出现，从而降低系统的整体安全性。

2023-05-31 11:50:37 192 1

原创 AI在金融体系下如何引导API安全？

例如，采用机器学习、深度学习等技术手段，对API访问、请求和响应等数据进行实时监控和分析，发现异常行为和事件，进行识别出潜在的攻击者，并制定相应的安全策略和方案，防止恶意攻击。这给API安全加固带来了新的挑战，需要不断加强对新型攻击的预测和防范，建立防止对抗性攻击的机制和算法，提高AI模型的鲁棒性和可靠性，提高API的安全性能和效率。通过对API使用数据的分析和整合，可以建立API行为模型和用户画像，并利用AI引擎进行自动学习和调整，从而实现更加精准的安全规则制定和更新，提高API的安全性能和效率。

2023-04-17 19:19:00 133 1

原创案例实践 | 某能源企业API安全实践

随着智能电网、全球能源互联网、“互联网+电力”、新电改的全面实施，分布式能源、新能源、电力交易、智能用电等新型业务不断涌现，运营模式、用户群体都将发生较大变化，电力市场由相对专业向广域竞争转变，民营等各种主体也参与到电力市场

2023-01-30 17:15:14 201 1

原创 Scalpel：解构API复杂参数Fuzz的「手术刀」

Scalpel是一款自动化Web/API漏洞Fuzz引擎，该工具采用被动扫描的方式，通过流量中解析Web/API参数结构，对参数编码进行自动识别与解码，并基于树结构灵活控制注入位点，让漏洞Fuzz向量能够应对复杂的编码与数据结构，实现深度漏洞挖掘。

2022-11-08 17:31:42 1127 1

starcross_2022的博客