- एपीआईको एक्स्ट्राज्ड कुञ्जी र पहुँचमा प्रणालीहरू
- सार्वजनिक वेबपृष्ठहरूले क्लाउड र भुक्तानी सेवाहरू अनलक गर्ने प्रमाणहरू समावेश गर्दछ
- विकासकर्ताहरूले अनजानमा लाइभ वेबसाइटहरूमा इम्बेड गरिएका संवेदनशील API टोकनहरू छोड्छन्
सुरक्षा अनुसन्धानकर्ताहरू भन्छन् स्ट्यानभिसफोर्ड यूनिभर्सिटी, एपीआईएन्सफोर्ड र युनिभर्सिटी डेल्भिसेन्स्फर्ड धेरै थोरै सुरक्षाको साथ हजारौं सार्वजनिक वेबपेजहरूमा खुल्ला रूपमा बसिरहेका छन्।
arXiv मा अध्ययनको प्रिप्रिन्ट संस्करण, अनुसन्धानकर्ताहरूले 10 मिलियन वेबपेजहरू विश्लेषण गरे र 1,748 वैध प्रमाणहरू पहिचान गरे, लगभग 0p>
यी प्रमाणहरूले क्लाउड प्लेटफर्महरू, भुक्तानी सेवाहरू, र उत्पादन वातावरणमा प्रयोग हुने विकासकर्ता उपकरणहरू समेट्छ।
A xmlns=”http://www.w3.org/2000/svg” aria-hidden=”true” class=”inline-block w-2.5 h-2.5 ml-2″ fill=”currentColor” preserveaspectratio=”xMidYMid meet” viewbox=”0 0 1000 1000″>
>>> id=”elk-cd2c02fb-d1e2-4575-bef2-e58e65bd58c0″>वित्तीय संस्था र पूर्वाधार-सम्बन्धित सेवाहरूसँग सम्बन्धित मुद्दाहरू सहित, दुवै कम ज्ञात साइटहरू र उच्च-प्रोफाइल संस्थाहरूमा मुद्दा कटौती गर्दछ।
नुरल्लाह डेमिर, एक पीएचडी, एपीआई फोर्ड, हाई फोर्डका उम्मेद्वार, एपीआईले भने, “हामी फेला परेका थियौं। पृथक गल्तीहरूको सट्टा कमजोर नियन्त्रणहरू सुझाव दिने ढाँचाको वर्णन गर्दै सार्वजनिक वेबपृष्ठहरूमा सार्वजनिक रूपमा छाडिएको प्रमाणहरू।
यी प्रमाणहरू पहुँच टोकनको रूपमा कार्य गर्दछ जसले अनुप्रयोगहरूलाई बाह्य प्रणालीहरूसँग सीधा अन्तरक्रिया गर्न अनुमति दिन्छ।
एपीआई प्रमाणहरू मानक लगइन विवरणहरू भन्दा भिन्न हुन्छन् किनभने तिनीहरूले स्वचालित रूपमा पहुँच बिना नै अतिरिक्त
लेयर पहुँच गर्न अनुमति दिन्छ। id=”slice-container-newsletterForm-articleInbodyContent-oqyBLFMHEhN4esEGCZJEZF” class=”slice-container newsletter-inbodyContent-slice newsletterForm-articleInbodyContent-oqyBLFMHEhN4esFEGCZJ slice-container-newsletterForm”>
Demir ले उल्लेख गरे कि प्रत्येक कुञ्जीमा संलग्न अनुमतिहरूको आधारमा त्यस्ता पहुँच डेटाबेस, भण्डारण प्रणाली, र प्रमुख व्यवस्थापन पूर्वाधारहरूमा विस्तार हुन सक्छ। आन्तरिक सेवाहरूमा प्रत्यक्ष एक्सपोजर सिर्जना गर्दै।
अर्को अवस्थामा, फर्मवेयर विकाससँग जोडिएको रिपोजिटरी प्रमाणहरू पर्दाफास भएको पाइयो, जसले अनाधिकृत कोड परिवर्तनहरू र परिवर्तन गरिएका अद्यावधिकहरूको वितरणको सम्भावना बढायो। data-mrf-recirculation=”Trending Bar” data-nosnippet=”” class=”clear-both pb-0 pt-2 mb-4″>
अब के पढ्ने
यसले जडान गरिएका यन्त्रहरूमा प्रयोग हुने सफ्टवेयरको सम्भावित हेरफेरमा डेटा पहुँचभन्दा बाहिरको जोखिमलाई विस्तार गर्छ।
अनुसन्धानकर्ताहरूले क्लाइन्ट-साइड कोड, विशेष गरी जाभास्क्रिप्ट फाइलहरू प्रयोगकर्ताका ब्राउजरहरूमा डेलिभर गरिएका धेरै एक्सपोजरहरू ट्रेस गरे। वेबप्याकको रूपमा।
कन्फिगरेसनहरू कडा रूपमा नियन्त्रण नभएको बेला यी प्रक्रियाहरूले अनजानमा संवेदनशील डेटा समावेश गर्न सक्छन्।
अन्य एक्सपोजरहरू HTML र JSON फाइलहरूमा फेला परेका थिए, जबकि केही CSS जस्ता कम विशिष्ट स्थानहरूमा देखा परेका थिए।
बहु फाइल प्रकारहरूमा फैलिएकोले सुझाव दिन्छ कि कसरी वेबमा एम्बेडेड र एम्बेडेड गर्न समस्याहरू तयार छन्। विकासको चरण।
अध्ययनले यो पनि पत्ता लगायो कि खुलासा प्रमाणहरू प्राय: लामो समयसम्म पहुँचयोग्य रहन्छन्, धेरै महिनादेखि धेरै वर्षसम्म।
संपर्क नगरेसम्म विकासकर्ताहरू प्रायः यस मुद्दाको बारेमा अनजान थिए, जसले अनुगमन र समीक्षा प्रक्रियाहरूमा अन्तर देखाउँछ।
प्रकटीकरण प्रयासहरू सुरु गरेपछि, आधा संख्यामा डेन्टलको संख्या घट्यो। हप्ताहरू। id=”elk-5033b703-7450-4e10-91d6-dc38a8dbaa5a”/>
Google समाचारमा TechRadar फलो गर्नुहोस् र हामीलाई प्राथमिकताको रूपमा थप्नुहोस् //em>प्राथमिकता स्रोतको रूपमा थप्नुहोस् समीक्षाहरू, र तपाईंको फिडहरूमा राय। फलो बटनमा क्लिक गर्न निश्चित हुनुहोस्!
र पक्कै पनि तपाईं TikTok मा TechRadar फलो गर्नुहोस् समाचार, समीक्षा, भिडियो फारममा अनबक्सिङका लागि र हामीबाट नियमित अपडेटहरू प्राप्त गर्नुहोस् WhatsApp पनि।
<a href="https://www.techradar.com/pro/security/api-credentials-are-widely-and-publicly-exposed-on-the-web-experts-scour-10-million-web-pages-and-find-a-shocking-amount-of-security-round-info/adjust