日前,奇安信代码安全实验室研究员张之义与新加坡南洋理工大学刘杨教授团队、国家工信安全中心等机构合作完成的学术论文《Nautilus: Automated RESTful API Vulnerability Detection》,被信息安全领域四大顶级会议之一USENIX Security 2023录用。
RESTful API已经成为访问Web服务最普遍的方式。然而,由于RESTful API的复杂性和多样性,手动检测其漏洞是一项非常耗时且容易出错的任务。因此,自动化检测RESTful API漏洞变得越来越重要。目前已经有一些自动化工具可用于检测RESTful API漏洞,但它们通常只能检测单个API端点,并且无法识别多个API端点之间的潜在漏洞。因此,需要一种新的方法来自动化检测RESTful API中的多个API漏洞,并提高准确性和效率。Nautilus在真实软件世界中发现了23个漏洞,其中包括Atlassian Confluence的远程代码执行漏洞。
以下是论文中的一些关键创新方面:
1. API组合检测:Nautilus旨在发现多个API之间的漏洞,这些漏洞是通过执行多个API操作来利用的。这是一个重要的创新,因为现有工具通常只关注单个API端点。
2. 使用OpenAPI规范:Nautilus解析OpenAPI规范以了解API端点之间的关系。这使其能够识别可能由不同端点之间的交互引起的潜在漏洞。
3. 注释原语:Nautilus使用新颖的注释原语来标记操作和参数,以生成逻辑操作序列。这有助于解决现有工具中缺乏正确顺序意识的问题。
4. 动态反馈:在测试阶段,Nautilus探索可能存在漏洞的API端点,并从动态反馈中自动更新注释。这使其能够适应系统中的变化,并随着时间推移提高其准确性。
参考链接
https://www.usenix.org/conference/usenixsecurity23/presentation/denggelei
关于奇安信代码安全实验室
奇安信代码安全实验室是奇安信集团旗下,专注于软件源代码安全分析技术、二进制漏洞挖掘技术研究与开发的团队。实验室支撑国家级漏洞平台的技术工作,多次向国家信息安全漏洞库(CNNVD)和国家信息安全漏洞共享平台(CNVD)报送原创通用型漏洞信息并获得表彰;帮助微软、谷歌、苹果、Cisco、Juniper、Red Hat、Ubuntu、Oracle、Adobe、VMware、阿里云、飞塔、华为、施耐德、Mikrotik、Netgear、D-Link、Netis、ThinkPHP、以太坊、Facebook、亚马逊、IBM、SAP、NetFlix、Kubernetes、Apache基金会、腾讯、滴滴等大型厂商和机构的商用产品或开源项目发现了数百个安全缺陷和漏洞,并获得公开致谢。目前,实验室拥有国家信息安全漏洞库(CNNVD)特聘专家一名,多名成员入选微软全球TOP安全研究者、Oracle安全纵深防御计划贡献者等精英榜单。在Pwn2Own 2017世界黑客大赛上,实验室成员还曾获得Master of Pwn破解大师冠军称号。
基于奇安信代码安全实验室多年的技术积累,奇安信集团在国内率先推出了自主可控的软件代码安全分析系统——奇安信代码卫士和奇安信开源卫士。奇安信代码卫士是一套静态应用程序安全测试系统,可检测2600多种源代码安全缺陷,支持C、C++、C#、Objective-C、Swift、Java、JavaScript、PHP、Python、Cobol、Go等20多种编程语言。奇安信开源卫士是一套集开源软件识别与安全管控于一体的软件成分风险分析系统,通过智能化数据收集引擎在全球范围内广泛获取开源软件信息和漏洞信息,帮助客户掌握开源软件资产状况, 及时获取开源软件漏洞情报,降低由开源软件带来的安全风险,奇安信开源卫士目前可识别9000多万个开源软件版本,兼容NVD、CNNVD、CNVD等多个漏洞库。奇安信代码卫士和奇安信开源卫士目前已经在数百家大型企业和机构中应用,帮助客户构建自身的代码安全保障体系,消减软件代码安全隐患,并入选国家发改委数字化转型伙伴行动、工信部中小企业数字化赋能专项行动,为中小企业提供软件代码安全检测平台和服务。
文章来自:https://www.freebuf.com/