API安全初创公司Wib被F5以数千万美元收购

本文记录从零开始搭建F5 BIG-IP漏洞调试环境的细节。

开发API安全平台的网络安全初创公司Wib已被美国网络巨头F5收购。两家公司没有透露收购的价值，但估计在数千万美元左右，收购完成后Wib的员工将加入F5的以色列总部。Wib的API安全平台提供了从代码到生产的整个API环境的完整可见性。F5在纳斯达克的市值约为110亿美元，它将把Wib的功能添加到其分布式云服务中，在应用程序开发过程中实现漏洞检测和可观察性，确保在API进入生产之前识别风险并实施策

基于这项研究，以下列出了开放API面临的10种值得注意的威胁。使用强大的身份验证机制保护API端点对于防范这种威胁至关重要。而目前流行的开放API可能是此类攻击的常见目标。在通常情况下，API网关会执行这一限速任务。应对开放API威胁为了应对以上讨论的威胁和漏洞，有必要在API的设计和开发阶段采用安全最佳实践。

Positive Technologies的安全专家Nikita Abramov发现了一个DoS漏洞，名为 CVE-2020-27716，该漏洞会影响某些版本的F5 BIG-IP访问策略管理器。“ TMM重新启动时，流量处理中断。如果将受影响的BIG-IP系统配置为设备组的一部分，则系统将触发故障转移到对等设备。”该漏洞影响版本和，供应商已经发布了解决该漏洞的安全更新。在公开披露该漏洞之后，立即发布了一些概念验证漏洞，其中一些非常易于使用。威胁者利用CVE-2020-5902漏洞获取密码，创建Web Shell并感染各种恶意软件的系统。

API技术逐渐成了现代数字业务环境的基础组成，也是企业数字化转型发展战略实现的核心要素，几乎所有的企业都依赖API进行服务连接、数据传输和系统控制。然而，API的爆炸式应用也为攻击者提供了更多的方法，而现有的安全工具却难以检测和减轻特定于API的威胁，使组织容易受到妥协、滥用和欺诈的影响。

漏洞空间站上线啦！！！CVE-2022-1388 F5 BIG-IP iControl REST 处理进程分析与认证绕过漏洞复现。

F5希望增强跨应用程序的安全性。

要求所有API请求和响应遵守模式和所有规范是保护这些API免受攻击和破坏的重要步骤。保护敏感数据API的主要安全漏洞之一就是泄露敏感数据。无论是由于疏忽、人为错误、主观恶意还是其他任何原因，对API的访问控制不当都意味着灾难性后果。作为整体API安全解决方案的一部分，检测和阻止恶意用户有助于更好保护API免受攻击、破坏和泄密。