最新文章

Top News
ExHub 中的 IDOR 漏洞允许攻击者修改网页托管配置

ExHub 中的 IDOR 漏洞允许攻击者修改网页托管配置

作者: hackernews 日期: 2025-02-18 分类: 漏洞事件

HackerNews 编译,转载请注明出处:

近日,ExHub 被发现存在一个关键的不安全直接对象引用(IDOR)漏洞,该漏洞允许攻击者在未经授权的情况下修改任何项目的网页托管配置,对受影响系统构成重大风险。

...

网络威胁攻击者”盯上了“API

网络威胁攻击者”盯上了“API

作者: 内容转载 日期: 2024-03-20 分类: 热点, 网络安全

近期, Imperva 发布的《2024 年 API 安全状况报告》中提到,2023 年的大部分互联网流量(71%)都是由 API 调用,通过 API 传输的大量互联网流量应该引起每一位网络安全专家的关注。

...

App Store 发布新规,限制调用 API

App Store 发布新规,限制调用 API

作者: 内容转载 日期: 2023-07-31 分类: 安全快讯

苹果公司宣布,从今年秋开始,开发者提交的App若需要调用某些API,需要在提交之前给出详细的调用理由,以确保开发人员不会滥用 API 进行用户的指纹识别。

...

2022 年上半年,影子 API 遭遇多达 50 亿次的恶意请求

2022 年上半年,影子 API 遭遇多达 50 亿次的恶意请求

作者: 内容转载 日期: 2022-10-09 分类: 网络攻击

近日,Cequence Security发布了其2022年上半年的报告,题目为 "API保护报告。影子API和API滥用的爆炸性增长"。其中最主要的发现是,约有50亿(31%)的恶意交易针对未知的、未被管理和未被保护的API,通常被称为影子API,这使其成为挑战行业的首要威胁。

...

美国邮政局发布 API 漏洞补丁 6000 万用户安全受影响

作者: 内容转载 日期: 2018-11-22 分类: 漏洞事件

讯 北京时间11月22日上午消息,据报道,美国邮政局(USPS)周三发布补丁修补了一个API漏洞。该漏洞可允许任何拥有USPS.com账户的人查看其他用户账户,大约有6000万美国邮政用户受该安全漏洞影响。

...

详解币安 API 钓鱼事件:黑客何以一夜撬走近亿美元?

作者: 内容转载 日期: 2018-07-06 分类: 黑客事件

7月4日凌晨五时许,币安交易所出现超大额提现,2小时内,超过7000枚比特币转入同一地址,何一对此表示,这只是一个看上去比较异常的正常转账,并非网传被盗。然而,同日上午八时,币安暂停交易与提现,进行临时维护。


既然是“正常转账”,何来停机维护呢?


在巨额比特币流转的背后,一个名为Syscoin的小币种,在4日四时许价格迅速拉升了320万倍,一枚SYS价格达到了96BTC——SYS的日常均价一直是0.00003BTC左右。随着SYS价格被拉爆,黑客再通过其他交易所出货,至少能获利8000万。


币安官方公告指出,这是一次“部分API用户的钓鱼事件”,何为API钓鱼事件?又是如何获利的呢?


金色财经邀请KEX交易所的CTO刘宏斐对事件进行技术解读。API钓鱼事件,可理解为通过常规的钓鱼手段,包括并不限于假冒网上银行、垃圾邮件、虚假电商广告等不法手段,来获取收集用户的账号信息,并由此获得API接口权限,并通过大量的API接口操作来影响交易市场。刘宏斐表示,由于API权限位于用户权限下,因此只要得到了平台的用户权限即可控制其API权限。如果黑客能够从一个或者几个平台获取大量的API控制权,即大量的用户账号登录信息,就可以左右市场行情。


发动攻击的人掌控足够的API之后,足以操控某个币种的市场涨跌,只要涉及的资金量和某项目的资金盘达到一定比例,就能引发巨额涨跌,因此交易量小和单价低的小币种容易成为攻击对象。当瞬间拉高小币种的价格之后,再通过卖出提前低价埋伏在其他交易平台的该币种即可获利。


这样的事件过后往往跟随比特币的下跌,3月7日,币安也发生了性质极为相似的黑客攻击时间,那一次买入的小币种是VIA,攻击发生后两天,比特币暴跌近1000美元。这一次,攻击发生后30分钟,比特币跌去130美元。黑客通过提前做好的空单,可二次获利。


针对这次异常事件,币安提出了四点处理方案,包括删除全部API记录、回滚异常交易账户记录、返还手续费、以及成立币安投资者保护基金等。

...