#API_Security

2024-12-05

Действуем на опережение: предотвращаем скрытые угрозы с помощью статистики

Современные киберугрозы становятся все более сложными и изощренными, поэтому для стабильной работы организация уже не может обойтись без новейших методов защиты. Долгое время считалось, что для обеспечения безопасности веб-приложений вполне достаточно использования WAF (Web Application Firewall). Однако стремительный рост числа API и увеличивающееся количество угроз заставили пересмотреть этот подход. Многие компании столкнулись с тем, что они зачастую не имеют полного представления, какие ресурсы используются и насколько они уязвимы, вследствие чего у них недостаточно контроля над своими API. В ответ на эту проблему команда разработчиков Вебмониторэкс создала средство защиты ПроAPI Структура, которое позволяет инвентаризировать все API, узнать их состав и выявить уязвимости. Важным дополнением нашего решения стала новая функциональность, которая позволяет собирать статистику по роутам и использовать её для раннего обнаружения атак и оперативного реагирования на них. Сегодня я представлю это нововведение. Чтобы глубже понять, как работает наша новая функция, давайте разберем ключевые термины. При работе с API используются понятия эндпоинт и роут. Первое – это само обращение клиента, запускающее конкретное действие приложения. Например, GET, PATCH, DELETE. Роут же представляет собой URL, то есть имя, по которому API запускает работу эндпоинтов. Примером может служить функция авторизации, соответствующая роуту example.com/login.php. При этом, важно помнить, что один роут может запускать несколько эндпоинтов.

habr.com/ru/companies/webmonit

#информационная_безопасность #waf #api_security #структура_api #атаки #уязвимости #кибербезопасность #кибератаки #безопасность

2024-06-26

Встречайте новые функции продукта «ПроAPI Структура» от команды «Вебмониторэкс»

Приветствуем вас, уважаемые пользователи и читатели Хабра! Мы рады представить вам долгожданные функции нашего продукта «ПроAPI Структура» от команды «Вебмониторэкс». Эти функции позволят вам еще более эффективно управлять и оптимизировать ваши API. Речь идет о «Настройке чувствительности», «Очистке трафика» и «Создание правил WAF для параметров роута». Давайте подробно рассмотрим каждую из них.

habr.com/ru/companies/webmonit

#информационная_безопасность #структура_api #api_security #защита_api #защита_информации #уязвимости #кибербезопасность #тестирование_вебсервисов #itкомпании #waf

2024-06-11

Предотвращение утечек API

Компонент «Предотвращение утечек API» расширяет функциональность ПО «Структура API» в области мониторинга скомпрометированных секретов (токенов) с дальнейшей возможностью блокировки таких токенов путём создания виртуальных патчей.Он предоставляет следующие возможности:

habr.com/ru/companies/webmonit

#информационная_безопасность #структура_api #api_security #защита_api #защита_информации #уязвимости #кибербезопасность #тестирование_вебприложений #itкомпании #атаки

2024-05-06

История успеха. Внедрение платформы «Вебмониторэкс» для защиты приложений «СберАвто»

В свете постоянно меняющегося ландшафта киберугроз, компания «СберАвто» столкнулась с необходимостью эффективно и быстро реагировать на появление новых уязвимостей и способов их эксплуатации. Особенно в части защиты web-приложений, так как основой бизнеса компании является её сайт. Инфраструктура компании построена на основе микросервисов взаимодействующих друг с другом по API, в связи с этим, сильно возросла важность обеспечения наблюдаемости всех API и мониторинга их изменений. Для обслуживания каждого инстанса web-приложения компания «СберАвто» использует кластерную пару веб-серверов Nginx , которые выполняют функции балансировки нагрузки, маршрутизации запросов и обработки HTTP-запросов от клиентов. Поэтому, при выборе межсетевого экрана уровня приложения (WAF) было важно обеспечить непрерывную интеграцию с существующей инфраструктурой на базе Nginx . Для защиты инфраструктуры, модули платформы от компании Вебмониторэкс были интегрированы во внутренние процессы связанные не только, с защитой приложений и сервисов, но с безопасной разработкой, сопровождением и динамическим тестированием. Гибкость в выборе вариантов установки ноды WAF как на балансировщики нагрузки, так и в контейнер рядом с конкретным приложением, обеспечила возможность защитить в том числе и сервисы, расположенные внутри инфраструктуры. Развертывание доступно с использованием playbook Ansible или Terraform , что существенно упрощает процесс установки и обслуживания. Платформа «Вебмониторэкс» имеет большие возможности обеспечения наблюдаемости и защиты API. В частности, для наблюдения за API, построения OAS и мониторинга изменений API был использован модуль «Структура API» (рис.1), более подробно про данный модуль можно прочитать в нашей документации .

habr.com/ru/companies/webmonit

#Cтруктура_API #api_security #защита_информации #кибербезопасность #информационная_безопасность #защита_api

2024-05-03

Управление API или API Security? Что это такое?

В сфере кибербезопасности существует постоянная гонка между атакующими и защитниками. Этот процесс можно сравнить с визуальным процессом гонки, где основная цель - это скорость. Начинается все с фазы разведки, где происходит инвентаризация ресурсов. Затем команды приоритизируют задачи и принимают меры, основанные на этих приоритетах. Важно отметить, что скорость играет ключевую роль в этой гонке. Примером может служить серия событий, начавшаяся с утечки набора инструментов в открытый доступ от группы хакеров «The Shadow Brokers». Через месяц после этого появился шифровальщик WannaCry, а вскоре после этого его модификация NotPetya, использующая те же уязвимости с незначительными изменениями. Это произошло благодаря быстрой адаптации уже существующего кода и техник. Сравнивая сегодняшние события с прошлыми, мы видим, что скорость изменений значительно выросла. Если раньше для появления базовой атаки требовался месяц, то сейчас это может занять менее 10 дней. Это объясняется не только изменениями в инструментарии, но и развитием технологий, включая использование искусственного интеллекта. Однако вместе с увеличением скорости изменений возросла и сложность кибербезопасности. Системы становятся связанными и зависимыми друг от друга, что создает новые вызовы для обеспечения их безопасности. Необходимость защиты таких систем становится все более острой, и скорость реагирования является ключевым фактором в обеспечении безопасности в цифровом мире. Почему важно быстро реагировать на уязвимости, и какую роль здесь играет Web Application Firewall (WAF).

habr.com/ru/companies/webmonit

#информационная_безопасность #структура_api #api_security #waf #уязвимости #кибербезопасность #тестирование_вебприложений #itкомпании #атаки

🛡 H3lium@infosec.exchange/:~# :blinking_cursor:​H3liumb0y@infosec.exchange
2024-05-02

Dropbox Sign Security Breach: Compromise of API Keys, MFA Secrets, and Hashed Passwords

Date: May 2, 2024

CVE: Not specified

Vulnerability Type: Unauthorized access and information disclosure

CWE: [[CWE-200]], [[CWE-287]], [[CWE-522]]

Sources: cybersecuritynews, DropBox advisory Blog

Issue Summary

Dropbox disclosed a significant breach on April 24th, 2024, affecting its [Dropbox Sign] service, previously known as [HelloSign]. They believe that this incident was isolated to Dropbox Sign infrastructure, and did not impact any other Dropbox products. The breach exposed sensitive customer information including API keys, MFA secrets, and hashed passwords due to unauthorized access facilitated by a compromised service account within Dropbox Sign's backend.

Technical Key Findings

The actor compromised a service account that was part of Sign’s back-end, which is a type of non-human account used to execute applications and run automated services. As such, this account had privileges to take a variety of actions within Sign’s production environment. This access was then used to breach the production environment, and access customer database. Dropbox states that Sign’s infrastructure is largely separate from other Dropbox services.

Vulnerable Products

The specific vulnerability directly impacts Dropbox Sign users, involving their names, email addresses, and other potentially sensitive data linked to their use of the service.

Impact Assessment

The breach could lead to further attacks such as impersonation or secondary phishing attacks aimed at affected users, given the exposure of email addresses and names. The compromise of API keys and MFA secrets also raises the potential for deeper system access if not immediately mitigated. Dropbox is in the process of reaching out to all users impacted by this incident who need to take action.

Patches or Workaround

Dropbox has responded by resetting passwords, logging users out of all devices, and rotating all compromised API keys and OAuth tokens to mitigate the breach and prevent further unauthorized access.

Tags

#Dropbox #API_Security #Phishing #Data_Breach #Cybersecurity

2024-04-11

Новые угрозы в OWASP API Security Top 10

Всем привет! Сегодня мы будем говорить о новых рисках в OWASP API Security Top 10, что плохого они нам обещают и что со всем этим можно сделать. В 2023 году некоммерческая организация OWSAP обновила свой отчёт и выпустила новую версию 2023. По сравнению с 2023 годом, перечень рисков претерпел довольно сильные изменения, которые мы постарались представить в виде таблицы. Дополнительно, в таблице отмечено, какие из пунктов уже сейчас покрываются продуктами от «Выбмониторэкс», а какие будут закрыты в ближайшем будущем.

habr.com/ru/companies/webmonit

#информационная_безопасность #owasp_top_10 #api #api_security #защита_информации #защита_api #атака #уязвимости #web_security #api_first

2024-04-09

Как провести фаззинг REST API с помощью RESTler. Часть 3

Вступление Привет, Хабр! С вами Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security. В прошлых статьях, посвященных фаззингу REST API, мы рассказывали о методе Stateful REST API Fuzzing и настройках инструмента RESTler. Сегодня мы поговорим о режимах тестирования, аннотациях, проблемах при подготовке и проведении фаззинга API и способах их решения. Статья написана в соавторстве с инженером по безопасности Артемом Мурадяном @TOKYOBOY0701 .

habr.com/ru/companies/swordfis

#фаззинг #фаззингтестирование #api #application_security #api_security

2024-04-02

Обзор продукта «Структура API» и новой функциональности сравнения Open API спецификаций

Всем привет! Сегодня мы хотим вам рассказать о нашем продукте «Структура API» и последних изменениях в нём. Данный продукт позволяет решить одну из важнейших задач в управлении API – это получение актуальной и полной структуры API на основании реального трафика. Результат представляется в привычном swagger виде. На рисунке 1 представлен общий вид пользовательского интерфейса.

habr.com/ru/companies/webmonit

#информационная_безопасность #структура_API #api_security #защита_api #уязвимости #кибербезопасность #тестирование_вебприложений #itкомпании #атаки

Who Let The Dogs Out 🐾ashed@mastodon.ml
2022-03-20

Сборник заметок, чеклистов, райтапов для AppSec, Bug Bounty Hunting, Web Application Security.

A Collection of Notes, Checklists, Writeups on Bug Bounty Hunting and Web Application Security.

github.com/HolyBugx/HolyTips

#api
#checklist
#security
#web
#webapp
#pentesting
#writeups
#bugbounty
#pentest
#websecurity
#api_security
#bugbountytips
#bugbounty_writeups

Client Info

Server: https://mastodon.social
Version: 2025.04
Repository: https://github.com/cyevgeniy/lmst