The Cloudflare Blog
·
主动防御:为API引入有状态漏洞扫描器
💡
原文英文,约2200词,阅读约需8分钟。
📝
内容提要
Cloudflare推出了Web和API漏洞扫描器的测试版,专注于检测API中的BOLA漏洞。传统防御无法有效应对API逻辑缺陷,因此需要主动检测。该扫描器将帮助识别复杂的API漏洞,未来将扩展到更多安全扫描类型。
🎯
关键要点
- Cloudflare推出Web和API漏洞扫描器的测试版,专注于检测API中的BOLA漏洞。
- 传统防御无法有效应对API逻辑缺陷,因此需要主动检测。
- 该扫描器将帮助识别复杂的API漏洞,未来将扩展到更多安全扫描类型。
- API漏洞与传统网络应用漏洞不同,主要是逻辑缺陷而非语法错误。
- BOLA攻击示例:攻击者利用有效的请求修改他人订单的送货地址。
- API开发者需要实施权限验证以防止此类漏洞。
- Cloudflare的API扫描器通过主动发送测试流量来检测漏洞。
- 传统的动态应用安全测试(DAST)工具配置复杂,难以使用。
- Cloudflare的扫描器能够快速构建扫描计划,简化了使用过程。
- 扫描器利用OpenAPI文档构建API调用图,自动推断数据依赖关系。
- Cloudflare的扫描器使用AI技术解决API文档中的模糊问题。
- 扫描器的控制平面与Cloudflare的基础设施集成,确保安全性和可靠性。
- 客户的API凭证通过HashiCorp的Vault Transit Secret Engine进行加密,确保安全。
- BOLA漏洞扫描现已向所有API Shield客户开放测试,未来将扩展到其他常见漏洞。
- Cloudflare计划在未来增加对OWASP Web Top 10的支持,包括SQL注入和跨站脚本攻击。
➡️
