程序员征服安全 OWASP 十大 API 系列-资产管理不当

与OWASP API前十名中的大多数漏洞不同，不当的资产管理并不专门以编码缺陷为中心。相反，这个漏洞更像是人为问题或管理问题，它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。如果仍在开发中的 API 在完全抵御威胁之前就暴露在生产环境中，也会发生这种情况。

由于微服务和云计算的出现，该漏洞尤其难以管理。在这种环境中，新服务可能会迅速启动以满足临时需求，然后被遗忘并且永远不会停用。如果将较旧的 API 与生产环境保持连接，则可能会危及整个网络。

想尝试游戏化挑战这个安全漏洞吗？走进我们的竞技场： [从这里开始]

不当的资产管理漏洞如何影响 API？

不当的资产管理漏洞是现代的产物。以业务速度发展的组织有时每天可以启动成百上千的服务和微服务。这通常可以快速完成，无需创建任何附带文档，也无需解释相关 API 的用途、需要多长时间或其重要性。这会迅速产生 API 蔓延，随着时间的推移可能会变得无法控制，尤其是在没有一揽子政策来定义 API 可以存在多长时间的情况下。

在这种环境中，某些 API 很可能会丢失、被遗忘或从未停用。

有权在正常流程之外创建新服务的用户有时也是罪魁祸首。例如，营销小组可能会创建一项服务来帮助支持即将举行的活动，例如产品发布会，然后再也不会在活动结束后将其撤回。稍后查看该服务及其关联API的人可能不知道它们为什么存在，如果没有文档，它可能仍然是个谜。他们可能不愿意将这些 API 从生产环境中移除，甚至将其升级到新版本，因为他们不知道它们有多重要，也不知道它们在做什么。

该漏洞变得危险，因为框架中 API 的安全性会随着时间的推移而提高。研究人员可能会发现漏洞，或者可以增加额外的安全措施来阻止越来越流行的攻击。除非升级，否则较旧的API可能仍然容易受到这些攻击，因此黑客通常会搜索它们或使用自动化工具来寻找它们。

在 OWASP 提供的真实示例中，一家公司升级了用于搜索用户数据库的 API，以修补关键缺陷。但是他们错误地将旧的 API 留在原处。

攻击者注意到新 API 的位置类似于 (api.criticalservice.com/v2)。通过将网址替换为（api.criticalservice.com/v1），他们得以改用存在已知漏洞的旧 API。这最终暴露了超过1亿用户的个人记录。

消除不当的资产管理漏洞

消除环境中不当资产管理漏洞的唯一方法是严格清点所有 API 及其用途和版本。这应该从清点现有 API 开始，重点关注诸如应将它们部署到哪个环境（例如生产或开发）、谁应该有网络访问权限，当然还有它们的版本等因素。

完成后，您需要实现一个流程，将文档自动添加到创建的任何新 API 或服务中。这应包括API的所有方面，包括速率限制、它如何处理请求和响应、资源共享、它可以连接到哪些端点、适用的任何相关政策，以及以后对其进行审计所需的任何其他内容。您还应避免在生产环境中使用非生产 API 或来自开发环境的 API。还可以考虑为API增加时间限制，其所有者必须证明继续使用API的合理性，以防止自动停用。

每当有新版本的活动 API 可用时，都要进行风险评估，以确定是否应该升级，以及该过程应如何进行，以避免中断生产环境。迁移到新 API 后，将旧 API 完全从环境中移除。

所有这些都有助于防止不当的资产管理漏洞损害您的组织、用户或网络。来看看 安全代码勇士 博客页面，详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。

‍