網頁上暴露的 API 憑證
arXiv - Computers and SocietyNurullah Demir (Stanford University), Yash Vekaria (University of California, Davis), Georgios Smaragdakis (Stanford University, TU Delft), Zakir Durumeric (Stanford University)
本研究揭示了網頁上 API 憑證普遍存在的暴露問題,包括銀行和韌體開發商等高流量網站,並探討了暴露原因及持續時間。
AI 幫你先抓重點
AI 重點 1
網頁上 API 憑證的普遍暴露
滑鼠懸停看 AI 判斷理由
此發現對於教育科技領域至關重要,因為許多教育應用程式和平台依賴 API 與外部服務互動,暴露的憑證可能導致學生資料外洩或系統被入侵,因此需要加強安全意識。
AI 重點 2
JavaScript 環境是主要暴露源
滑鼠懸停看 AI 判斷理由
這點對於開發教育應用程式的工程師和設計師具有重要意義,他們需要特別注意 JavaScript 程式碼的安全,避免將敏感憑證嵌入在前端程式碼中,並定期進行安全審查。
核心研究發現
- 1
研究分析了 1000 萬個網頁,發現 API 憑證在網頁上被廣泛且公開地暴露。
- 2
研究團隊識別出來自 14 個服務供應商(如雲端和支付提供者)的 1,748 個不同的憑證,散布在近 10,000 個網頁上。
- 3
暴露的憑證往往會持續存在數月甚至數年,表明缺乏有效的監控和移除機制。
- 4
研究發現,大多數憑證暴露源於 JavaScript 環境,突顯了前端安全的重要性。
- 5
研究者透過負責任的披露行動,驗證了憑證暴露可能造成的實際損害。
對教育工作者的啟發
教育科技平台應定期掃描網頁及程式碼,尋找暴露的 API 憑證,並建立自動化的監控機制。此外,應加強開發人員的安全培訓,避免將敏感資訊硬編碼在程式碼中,並採用更安全的身份驗證方法,例如 OAuth 2.0。對於已暴露的憑證,應立即撤銷並重新發行,以降低潛在風險。同時,教育機構應建立完善的事件應對機制,以便在發生安全事件時及時處理。
原始文獻資訊
- 英文標題:
- Keys on Doormats: Exposed API Credentials on the Web
- 作者:
- Nurullah Demir (Stanford University), Yash Vekaria (University of California, Davis), Georgios Smaragdakis (Stanford University, TU Delft), Zakir Durumeric (Stanford University)
- 來源:
- arXiv - Computers and Society
- AI 摘要模型:
- ISTA-DASLab/gemma-3-27b-it-GPTQ-4b-128g
每週精選研究電子報
每週五信箱收到精選 5 篇教育科技重點研究摘要,零時間壓力掌握學術前沿。