Help net security發佈了一篇研究人員發現 API 秘密被洩露,影響了主要科技代幣
API(應用程式介面)是現代應用程式和服務的重要組成部分,它們可以讓不同的系統和平台之間進行數據和功能的交互。然而,API 也是一個容易被攻擊的攻擊面,因為它們需要使用密鑰或令牌來驗證和授權請求。如果這些密鑰或令牌被暴露或洩露,那麼攻擊者就可以利用它們來訪問或操縱敏感的資訊和資源。
最近,一個名為 Escape 的安全研究團隊掃描了 1.895 億個網址,並發現了超過 1.8 萬個暴露的 API 密鑰。這些暴露的密鑰包括了數百個 Stripe、GitHub/GitLab 令牌、RSA 私鑰、OpenAI 金鑰、AWS 令牌、Twitch 秘密金鑰、加密貨幣交易所金鑰、X 令牌以及 Slack 和 Discord 的 Webhooks。這些密鑰涵蓋了多個領域,從金融、人工智慧、雲端服務、遊戲、加密貨幣到通訊工具等。其中,41% 的暴露的密鑰被認為是高度危險的,也就是說,它們可能會給相關的組織帶來財務風險。
暴露的 API 密鑰不僅存在於公開的程式碼庫中,還存在於實際的應用程式和服務中。Escape 的網路爬蟲分析了應用程式在實際使用場景中的各個方面,從 API 到前端,包括在背景中運行的元素,如 JavaScript。這種方法顯示了 API 密鑰和令牌在真實環境中是如何和在哪裡被暴露的,而不僅僅是在程式碼庫中。
那麼,如何減輕這種風險呢?Escape 的研究人員提出了以下幾個必要的步驟:
- 集中管理令牌:通過集中管理令牌,您可以確保令牌的安全存儲、訪問和輪換。將所有令牌放在一個地方,可以對它們的使用進行全面的監控。
- 定期輪換令牌:經常更新令牌可以減少潛在的妥協的影響。您可以使用像 AWS Secrets Manager 這樣的工具來自動化這個過程。
- 為特定的團隊或服務分配令牌:將每個令牌分配給需要它的指定團隊或服務。
- 制定撤銷策略:實施一個簡單的過程,以便在發生安全漏洞時快速撤銷令牌。
- 分配適當的權限:限制每個令牌的權限,只給予必要的權限,減少造成廣泛損害的可能性。
- 限制令牌範圍:限制每個令牌在您的系統中的訪問範圍。
- 監控令牌使用模式:積極觀察令牌的使用,檢測異常或可疑的活動。
- 培訓您的內部團隊:確保所有團隊成員都清楚地了解令牌安全的重要性,並始終遵循既定的最佳實踐。
API 安全是一個不斷發展的領域,需要組織對其 API 環境和風險有更好的理解和控制。我們希望這篇文章能夠幫助您提高您的 API 安全意識和能力。
詳情請看: