API NEWS | Money Lover爆出潜在API漏洞
API NEWS | Money Lover爆出潜在API漏洞 星阑科技 2023-06-05 14:38 欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。 本周,我们带来的分享如下: – Money Lover爆出潜在API漏洞 丰田管理运营平台的API漏洞 一篇关于标准测试遗漏的
继续阅读标签: 接口安全
API NEWS | 三个Argo CD API漏洞
API NEWS | 三个Argo CD API漏洞 星阑科技 2023-05-31 09:53 欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。 本周,我们带来的分享如下: – 关于三个Argo CD API漏洞的文章 Gartner对API安全的看法 分布式标识是现代API安全的
继续阅读使用广泛的开源框架 Expo中存在多个 OAuth 漏洞,导致账户遭接管
使用广泛的开源框架 Expo中存在多个 OAuth 漏洞,导致账户遭接管 Eduard Kovacs 代码卫士 2023-05-25 17:44 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 API安全公司 Salt Security 指出,广为使用的应用开发框架 Expo 中存在多个与 OAuth 相关的漏洞,可被用于控制用户账户。 Expo 是一款开源平台,用于为移动设备和 web 开
继续阅读五大API安全漏洞及缓解措施
五大API安全漏洞及缓解措施 关键基础设施安全应急响应中心 2023-04-19 15:34 API流量约占全球互联网流量的83%,是数字经济的“关键基础设施”,同时也是最热门的攻击目标之一。 随着云计算、物联网、移动互联网和人工智能技术的快速普及,API安全已经成为当下企业和互联网面临的最严峻的网络安全挑战之一,根据Gartner的研究,2022年,超过九成Web应用程序遭到的攻击来自API,而
继续阅读权威认证!星阑科技入选CNNVD漏洞库技术支撑单位
权威认证!星阑科技入选CNNVD漏洞库技术支撑单位 星阑科技 2023-04-06 10:33 近期,国家信息安全漏洞库(CNNVD)公布2023年度新增技术支撑单位,北京星阑科技有限公司成功入选,荣获“CNNVD技术三级支撑单位”认定。 中国国家信息安全漏洞库(CNNVD),是国家信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家信息安全漏洞库,为我国信息安全保障提供基础服务
继续阅读3月这几个API安全漏洞值得注意!
3月这几个API安全漏洞值得注意! 星阑科技 2023-04-04 14:29 为了让大家的API更加安全 致力于守护数字世界每一次网络调用 小阑公司 PortalLab实验室的同事们 给大家整理了 3月份的一些API安全漏洞报告 希望大家查漏补缺 及时修复自己API可能出现的漏洞 No.1 影子API将带来不可预知的漏洞 漏洞详情:时至今日,许多企业没有准确的API库存清单,因此导致了一种新的威
继续阅读CISA新增3个影响IT管理系统的漏洞
CISA新增3个影响IT管理系统的漏洞 Ravie Lakshmanan 代码卫士 2023-03-09 17:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全和基础设施安全局 (CISA) 在“已知遭利用漏洞”列表中新增三个漏洞。 这三个漏洞是: CVE-2022-35914(CVSS评分9.8):Teclib GLPI 远程代码执行漏洞。 CVE-2022-33891(
继续阅读1&2月份重点关注的API安全漏洞一览
1&2月份重点关注的API安全漏洞一览 星阑科技 2023-03-02 16:12 为了让大家的API更加安全 致力于守护数字世界每一次网络调用 小阑公司 PortalLab实验室的同事们 给大家整理了 1&2月份的一些API安全漏洞报告 希望大家查漏补缺 及时修复自己API可能出现的漏洞 No.1 一个允许远程控制现代和创世纪车辆的API关键漏洞 漏洞详情:近期,研究人员披露了现
继续阅读汽车行业最严重漏洞:20家知名车企API暴露车主个人信息
汽车行业最严重漏洞:20家知名车企API暴露车主个人信息 安全内参 2023-01-05 18:53 关注我们 带你读懂网络安全 近日安全研究人员Sam Curry披露了近20家知名汽车制造商在线服务中的API安全漏洞,这些漏洞可能允许黑客执行恶意活动,包括从解锁、启动、跟踪汽车到窃取客户个人信息。这可能是汽车行业迄今披露的影响最为广泛,也最为严重的安全漏洞。 受漏洞影响的知名品牌包括宝马、劳斯莱
继续阅读12月API漏洞及相关资讯一览
12月API漏洞及相关资讯一览 星阑科技 2022-12-29 15:07 为了让大家的API更加安全 致力于守护数字世界每一次网络调用 小阑公司 PortalLab实验室的同事们 给大家整理了 12月份的一些API安全漏洞报告和资讯 希望大家查漏补缺 及时修复自己API可能出现的漏洞 No.1 Zendesk Explore API中的SQL注入漏洞 漏洞详情:Zendesk Explore 是
继续阅读【技术干货】CVE-2022-22978 Spring-security 认证绕过漏洞分析和漏洞挖掘思考
【技术干货】CVE-2022-22978 Spring-security 认证绕过漏洞分析和漏洞挖掘思考 星阑科技 2022-09-13 13:26 xxhzz @PortalLab实验室 前言 在此之前,已经对CVE-2022-32532 Apache Shiro RegExPatternMatcher 认证绕过漏洞进行了分析,它和CVE-2022-22978漏洞产生原理上,本质是一样的。在分
继续阅读API NEWS | Bitbucket 服务器中的命令注入漏洞
API NEWS | Bitbucket 服务器中的命令注入漏洞 星阑科技 2022-09-08 10:43 欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。 本周,我们带来的分享如下: – 关于 Atlassian Bitbucket 服务器中的命令注入漏洞 关于每月发生的API安
继续阅读API漏洞自动化测试、安全工作流编排-星阑科技在Kcon黑客大会进行精彩分享
API漏洞自动化测试、安全工作流编排-星阑科技在Kcon黑客大会进行精彩分享 星阑科技 2022-09-06 13:54 近日,由知道创宇出品的第11届KCon 黑客大会(以下简称 KCon 2022)正式在云端拉开帷幕,为线上观众呈现一场火热的网络安全攻防技术盛宴。星阑科技安全研发工程师周阳、安全工程师吕竭以“自动化API漏洞Fuzz实战”为主题,带来了一场API漏洞挖掘实战技巧分享。星阑科技安
继续阅读KCon 2022议题分享:自动化API漏洞挖掘
KCon 2022议题分享:自动化API漏洞挖掘 星阑科技 2022-09-02 11:47 演讲者介绍 周阳 星阑科技安全研发工程师。具有丰富的漏洞研究及红队武器化经验,历经主机漏洞扫描、应用漏洞扫描、开源软件供应链安全跟踪以及漏洞情报管理平台等多款产品建设,曾参与发现多个linux系统安全漏洞并收到工信部及其他部委致谢。目前专注于API安全研究以及自动化应用漏洞扫描方向。 吕竭 星阑科技安全服
继续阅读2022最危险的五个API安全漏洞
2022最危险的五个API安全漏洞 关键基础设施安全应急响应中心 2022-08-24 14:56 API安全漏洞仍然是企业的眼中钉,访问控制漏洞几乎成了高危漏洞的代名词。 API作为系统功能之间的关键通信方法,在网络服务中扮演着关键作用,已经成为网络攻击的热门目标。 根据API安全公司Wallarm最新发布的“2022年一季度API漏洞”报告,第一季度共发现并报告了48个与API相关的漏洞(下图
继续阅读演讲议题巡展|自动化API漏洞Fuzz实战
演讲议题巡展|自动化API漏洞Fuzz实战 原创 周阳&吕竭 KCon 黑客大会 2022-07-11 11:32 KCon 2022 演讲议题巡展火热进行中 接下来的一段时间 我们将陆续对议题亮点及演讲人进行展示 敬请关注 PS:议题展示顺序不分先后~为使 KCon 首届云端大会能为大家带来更好的体验,议程还在加紧制定中,请大家耐心等待官方通知~ IT’S SHOW TIME
继续阅读6月,盘点您需要修复的那些API安全漏洞
6月,盘点您需要修复的那些API安全漏洞 星阑科技 2022-06-29 14:07 为了让大家的API更加安全 致力于守护数字世界每一次网络调用 小阑公司 PortalLab实验室的同事们 给大家整理了 6月份的一些API安全漏洞报告 希望大家查漏补缺 及时修复自己API可能出现的漏洞 No.1 开放自动化软件OAS平台REST API 的RCE漏洞 漏洞详情:开放式自动化软件OAS 平台的RE
继续阅读【技术干货】2022-29464 WSO2 API Manager 任意文件上传、远程代码执行漏洞
【技术干货】2022-29464 WSO2 API Manager 任意文件上传、远程代码执行漏洞 星阑科技 2022-06-10 11:43 arp @PortalLab实验室 漏洞描述 某些WSO2产品允许不受限制地上传文件,从而执行远程代码。以WSO2 API Manager 为例,它是一个完全开源的 API 管理平台。它支持API设计,API发布,生命周期管理,应用程序开发,API安全性,
继续阅读