The Cloudflare Blog
·
主动防御:为API引入有状态漏洞扫描器
内容提要
Cloudflare推出了Web和API漏洞扫描器的测试版,专注于检测API中的BOLA漏洞。传统防御无法有效应对API逻辑缺陷,因此需要主动检测。该扫描器将帮助识别复杂的API漏洞,未来将扩展到更多安全扫描类型。
关键要点
-
Cloudflare推出Web和API漏洞扫描器的测试版,专注于检测API中的BOLA漏洞。
-
传统防御无法有效应对API逻辑缺陷,因此需要主动检测。
-
该扫描器将帮助识别复杂的API漏洞,未来将扩展到更多安全扫描类型。
-
API漏洞与传统网络应用漏洞不同,主要是逻辑缺陷而非语法错误。
-
BOLA攻击示例:攻击者利用有效的请求修改他人订单的送货地址。
-
API开发者需要实施权限验证以防止此类漏洞。
-
Cloudflare的API扫描器通过主动发送测试流量来检测漏洞。
-
传统的动态应用安全测试(DAST)工具配置复杂,难以使用。
-
Cloudflare的扫描器能够快速构建扫描计划,简化了使用过程。
-
扫描器利用OpenAPI文档构建API调用图,自动推断数据依赖关系。
-
Cloudflare的扫描器使用AI技术解决API文档中的模糊问题。
-
扫描器的控制平面与Cloudflare的基础设施集成,确保安全性和可靠性。
-
客户的API凭证通过HashiCorp的Vault Transit Secret Engine进行加密,确保安全。
-
BOLA漏洞扫描现已向所有API Shield客户开放测试,未来将扩展到其他常见漏洞。
-
Cloudflare计划在未来增加对OWASP Web Top 10的支持,包括SQL注入和跨站脚本攻击。
延伸问答
Cloudflare的API漏洞扫描器主要检测什么类型的漏洞?
主要检测API中的BOLA漏洞,即Broken Object Level Authorization。
为什么传统的防御措施无法有效应对API逻辑缺陷?
因为API漏洞主要是逻辑缺陷,而不是语法错误,传统防御措施难以识别这些有效的HTTP请求。
Cloudflare的扫描器如何检测API漏洞?
通过主动发送测试流量和被动监听现有API流量来检测漏洞。
BOLA攻击的一个示例是什么?
攻击者利用有效的请求修改他人订单的送货地址,例如通过PATCH请求插入他人的订单ID。
Cloudflare的API扫描器如何简化使用过程?
扫描器能够快速构建扫描计划,减少复杂配置的需求,用户只需提供API凭证。
Cloudflare计划在未来增加哪些漏洞扫描类型?
计划增加对OWASP Web Top 10的支持,包括SQL注入和跨站脚本攻击等常见漏洞。
