🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
الصفحة الرئيسية
مراكز استخبارات التهديدات
مجموعة ممثلي التهديد

تستخدم الجهات الفاعلة في مجال التهديد واجهة مستخدم Swagger المكشوفة لإساءة استخدام نقاط النهاية للشركة والعملاء المستهدفين

حددت منصة XviGil للمخاطر الرقمية السياقية للذكاء الاصطناعي التابعة لـ CloudSek زيادة في حالات المنظمات التي تعرض واجهات مستخدم Swagger. العديد من هذه الحالات تنطوي على مخاطر عالية للاستغلال.
تم التحديث بتاريخ
April 17, 2026
تم النشر في
June 30, 2022
اقرأ الدقائق
5
اشترك في أحدث أخبار الصناعة والتهديدات والموارد.
الفئة: ذكاء نقاط الضعففئة نقاط الضعف الأمنية: إذن غير لائقمعرف السيارة: طاقم العمل -285

ملخص تنفيذي

تهديدتأثيرتخفيف
  • تسمح نقاط نهاية Swagger المكشوفة بالوصول غير المصرح به إلى العمليات التجارية والتسويقية.
  • تستفيد الجهات الفاعلة في مجال التهديد من نقاط النهاية التي تم تكوينها بشكل خاطئ لاستهداف العملاء من خلال انتحال شخصية الشركة.
  • تستخدم الجهات الفاعلة في مجال التهديد واجهات برمجة التطبيقات المكشوفة للوصول إلى بيانات الشركة الضحية ومعالجتها.
  • الوصول غير المصرح به إلى المدفوعات والمبالغ المستردة والاشتراكات.
  • تسمح مفاتيح API للجهات الفاعلة المهددة بانتحال شخصية الشركة.
  • المراقبة المستمرة لواجهات برمجة التطبيقات.
  • يجب تشفير البيانات التي تتم إدارتها بواسطة واجهات برمجة التطبيقات، وخاصة معلومات تحديد الهوية الشخصية.
  • قم بتمكين عمليات التحقق من التخويل لمنع إساءة استخدام نقاط نهاية API.
كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر حدد زيادة في حالات المنظمات التي تعرض واجهات مستخدم Swagger. العديد من هذه الحالات تنطوي على مخاطر عالية للاستغلال.

التحليل الفني

  • مواصفات Swagger (المعروفة أيضًا باسم OpenAPI) هي تنسيق وصف API لواجهات برمجة تطبيقات REST. يصف ملف Swagger واجهة برمجة التطبيقات، بما في ذلك:
    • نقاط النهاية المتاحة
    • العمليات على كل نقطة نهاية
    • إدخال معايير التشغيل
    • الإخراج لكل عملية
  • وبالتالي، فإن الوصول غير المصرح به إلى Swagger UI للشركة يمكن أن يمكّن الجهات الفاعلة في مجال التهديد من انتحال شخصية الشركة والتلاعب ببياناتها واستهداف عملائها.

مثال على واجهات مستخدم Swagger المكشوفة ذات مخاطر الاستغلال العالية

[معرف التسمية التوضيحية = «المرفق _19833" aligncenter» العرض = «1117"]Exposed SwaggerUI واجهة مستخدم SwaggerUI المكشوفة [/caption] أعلاه هو Swagger UI المكشوفة لشركة، والتي تحتوي على نقطتي نهاية قابلة للاستغلال:
  1. /API/خيار الهاتف المحمول
تسمح نقطة النهاية هذه للجهات الفاعلة في مجال التهديد بإرسال رسائل WhatsApp إلى رقم هاتف محمول، عبر حساب Whatsapp التجاري الذي تم التحقق منه للشركة. [معرف التسمية التوضيحية = «المرفق _19834" aligncenter «العرض ="619"]MobileOptIn endpoint نقطة نهاية الاشتراك عبر الهاتف المحمول [/caption] عند النقر على خيار «جربه»، يكون النص التالي هو نص الاستجابة المعروض. [معرف التسمية التوضيحية = «المرفق _19835" aligncenter «العرض ="1023"]MobileOptIn endpoint نقطة نهاية الاشتراك عبر الهاتف المحمول [/caption]
  1. /API/إلغاء الاشتراك
تسمح نقطة النهاية هذه للجهات الفاعلة في مجال التهديد بإرسال رسائل WhatsApp إلى رقم هاتف محمول، عبر حساب Whatsapp التجاري الذي تم التحقق منه للشركة، باستخدام Gupshup. Gupshup عبارة عن منصة لبناء روبوتات الدردشة والمراسلة تسهل دعم عملاء WhatsApp والتسويق. [معرف التسمية التوضيحية = «المرفق _19836" aligncenter» width="1220"]OptOutGupshup endpoint إلغاء الاشتراك في نقطة نهاية Gupshup [/caption]  

معلومات من المصدر المفتوح

  • يتم استخدام Swagger من قبل أكثر من 6 ملايين مستخدم عبر 22,000 شركة في 194 دولة.
  • يحتوي SwaggerUI على أكثر من 6000 إشارة على موقع شودان. يشير هذا إلى وجود مخاطر عالية للمؤسسات ذات نقاط نهاية SwaggerUI المفتوحة المكشوفة.
[معرف التسمية التوضيحية = «المرفق _19837" aligncenter «العرض ="1543"]Shodan Report تقرير شودان [/caption]

معلومات من منتديات الجرائم الإلكترونية

تُظهر المنشورات عبر منتديات الجرائم الإلكترونية أن الجهات الفاعلة في مجال التهديد تستفيد من نقاط نهاية Swagger UI المكشوفة للعثور على نقاط الضعف الحرجة مثل البرمجة النصية عبر المواقع (XSS)، واستغلالها بشكل أكبر لاستهداف الخدمات المستخدمة على نطاق واسع مثل Paypal و Microsoft و Github و Yahoo وما إلى ذلك. [معرف التسمية التوضيحية = «المرفق _19838" aligncenter» width="1829"]Post on SwaggerUI posted on an from underground forum تم نشر المنشور على SwaggerUI في منتدى تحت الأرض [/caption] [معرف التسمية التوضيحية = «المرفق _19839" aligncenter «العرض ="1624"]List of XSS in Swagger UI instances قائمة CSS في مثيلات Swagger UI [/caption] يُظهر المنشور أدناه أحد ممثلي التهديد الذي يشارك مجموعة أدوات استغلال لـ Swagger UI. [معرف التسمية التوضيحية = «المرفق _19840" aligncenter «العرض ="863"]Post sharing exploit kit on an underground forum انشر مجموعة أدوات الاستغلال في منتدى تحت الأرض [/caption]

التأثير والتخفيف

التأثيرالتخفيف
  • توفر واجهات برمجة التطبيقات المكشوفة وصولاً غير مصرح به إلى العمليات التجارية والتسويقية التي يمكن إساءة استخدامها لاستهداف عملاء الشركة.
  • يمكن لممثل التهديد الوصول إلى بيانات الضحية والتلاعب بها باستخدام هذه العمليات.
  • إن المهاجم الذي لديه وصول مباشر إلى بيانات العملاء يضر بخصوصية البيانات والسرية والنزاهة.
  • عند الوصول إلى مفتاح API، يمكنهم تنفيذ عمليات مثل إرسال الوسائط والرسائل القصيرة نيابة عن اسم النشاط التجاري الشرعي.
  • راقب واجهات برمجة التطبيقات باستمرار في سطح الهجوم.
  • يجب تشفير البيانات التي تتم إدارتها بواسطة API، وخاصة معلومات التعريف الشخصية (PII) أو البيانات الحساسة الأخرى المحمية بمعايير ولوائح الامتثال.
  • قم بتمكين آليات الترخيص الصارمة لنقاط النهاية الحرجة، لمنع إساءة استخدامها.

المراجع

CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.
المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.
جدولة عرض تجريبي
بيانات معلومات التهديدات في الوقت الحقيقي
مزيد من المعلومات والسياق حول الدردشة تحت الأرض
خدمات البحث حسب الطلب
نموذج لوحة القيادة
موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.
موثوق بها من قبل أكثر من 400 مؤسسة رائدة
ابدأ
تعرف على المزيد