会员服务
凭证 · API · 分析 · 云服务 · 交互 ·
3 月 12 日
Keys on Doormats: Exposed API Credentials on the Web
翻译:门垫上的钥匙:网络中的API凭证暴露问题
Nurullah Demir,Yash Vekaria,Georgios Smaragdakis,Zakir Durumeric
Nurullah Demir,Yash Vekaria,Georgios Smaragdakis,Zakir Durumeric

Application programming interfaces (APIs) have become a central part of the modern IT environment, allowing developers to enrich the functionality of applications and interact with third parties such as cloud and payment providers. This interaction often occurs through authentication mechanisms that rely on sensitive credentials such as API keys and tokens that require secure handling. Exposure of these credentials can pose significant consequences to organizations, as malicious attackers can gain access to related services. Previous studies have shown exposure of these sensitive credentials in different environments such as cloud platforms and GitHub. However, the web remains unexplored. In this paper, we study exposure of credentials on the web by analyzing 10M webpages. Our findings reveal that API credentials are widely and publicly exposed on the web, including highly popular and critical webpages such as those of global banks and firmware developers. We identify 1,748 distinct credentials from 14 service providers (e.g., cloud and payment providers) across nearly 10,000 webpages. Moreover, our analysis of archived data suggest credentials to remain exposed for periods ranging from a month to several years. We characterize web-specific exposure vectors and root causes, finding that most originate from JavaScript environments. We also discuss the outcomes of our responsible disclosure efforts that demonstrated a substantial reduction in credential exposure on the web.


翻译:应用程序编程接口(API)已成为现代IT环境的核心组成部分,使开发者能够增强应用程序功能并与云服务和支付提供商等第三方进行交互。此类交互通常通过依赖敏感凭证(如API密钥和令牌)的身份验证机制实现,这些凭证需要安全处理。一旦这些凭证暴露,可能对组织造成严重后果,恶意攻击者可借此访问相关服务。先前研究表明,此类敏感凭证已在云平台和GitHub等不同环境中存在暴露现象。然而,网络环境中的暴露情况尚未得到充分探索。本文通过分析1000万个网页,研究了网络环境中的凭证暴露问题。我们的研究结果表明,API凭证在网络中被广泛公开暴露,涉及全球性银行和固件开发商等高度流行且关键性强的网页。我们在近1万个网页中识别出来自14家服务提供商(如云服务和支付提供商)的1748个独立凭证。此外,对存档数据的分析表明,这些凭证的暴露时间可持续从一个月到数年不等。我们系统分析了网络特有的暴露途径和根本原因,发现大多数暴露源自JavaScript环境。本文还探讨了负责任披露工作的成果,证明该措施能显著减少网络中的凭证暴露现象。
0
下载
关闭预览

相关内容

《软件定义网络元素与机器代码的形式化验证》
《软件定义网络元素与机器代码的形式化验证》
专知会员服务
13+阅读 · 2025年11月18日
联邦API网关:将新端点快速集成到预定义模式中 | 最新53页
联邦API网关:将新端点快速集成到预定义模式中 | 最新53页
专知会员服务
16+阅读 · 2025年10月28日
深度学习中的架构后门:漏洞、检测与防御综述
深度学习中的架构后门:漏洞、检测与防御综述
专知会员服务
12+阅读 · 2025年7月19日
军事系统互操作性《国防应用程序接口 (API) 技术指南》美国防部76页
军事系统互操作性《国防应用程序接口 (API) 技术指南》美国防部76页
专知会员服务
54+阅读 · 2025年1月20日
【2024新书】面向Python开发者的OpenAI GPT:使用GPT-4等构建人工智能应用的艺术和科学,323页pdf
【2024新书】面向Python开发者的OpenAI GPT:使用GPT-4等构建人工智能应用的艺术和科学,323页pdf
专知会员服务
86+阅读 · 2024年2月24日
【2023新书】用ChatGPT API构建AI应用:通过开发十个创新的AI项目掌握ChatGPT、Whisper和DALL-E
【2023新书】用ChatGPT API构建AI应用:通过开发十个创新的AI项目掌握ChatGPT、Whisper和DALL-E
专知会员服务
136+阅读 · 2023年9月27日
【2023新书】给Python程序员的GPT指南
【2023新书】给Python程序员的GPT指南
专知会员服务
170+阅读 · 2023年5月9日
首篇《后门学习综述》论文发布,阐述AI系统训练过程的安全性问题
专知会员服务
31+阅读 · 2020年11月21日
【VLDB2020】构建高吞吐量许可的区块链结构:挑战和机遇,190页ppt
【VLDB2020】构建高吞吐量许可的区块链结构:挑战和机遇,190页ppt
专知会员服务
16+阅读 · 2020年9月25日
机器学习隐私综述论文,An Overview of Privacy in Machine Learning
机器学习隐私综述论文,An Overview of Privacy in Machine Learning
专知会员服务
81+阅读 · 2020年5月20日
八个不容错过的 GitHub Copilot 功能!
八个不容错过的 GitHub Copilot 功能!
CSDN
11+阅读 · 2022年9月22日
客户端私钥如何保存?
客户端私钥如何保存?
黑客技术与网络安全
13+阅读 · 2019年8月24日
【数据中台】什么是数据中台?
【数据中台】什么是数据中台?
产业智能官
18+阅读 · 2019年7月30日
iOS如何区分App和SDK内部crash
iOS如何区分App和SDK内部crash
CocoaChina
11+阅读 · 2019年4月17日
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
AI研习社
10+阅读 · 2019年3月18日
被动DNS,一个被忽视的安全利器
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
25+阅读 · 2019年3月8日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
【干货】通过OpenFace来理解人脸识别
【干货】通过OpenFace来理解人脸识别
专知
56+阅读 · 2018年1月23日
视频教程【第10期】 | 如何通过调用API来搭建一个聊天机器人
视频教程【第10期】 | 如何通过调用API来搭建一个聊天机器人
AI100
10+阅读 · 2017年8月25日
移动互联网的用户隐私保护研究
国家自然科学基金
2+阅读 · 2017年12月31日
云存储中基于无证书加密的数据机密性保护与访问控制
国家自然科学基金
1+阅读 · 2015年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于负调查的云数据隐私保护关键问题研究
国家自然科学基金
1+阅读 · 2015年12月31日
非确定型Web服务流程重组的可靠性验证技术
国家自然科学基金
1+阅读 · 2015年12月31日
编码和信息安全中的数学问题
国家自然科学基金
0+阅读 · 2015年12月31日
可信多云协作关键安全问题研究
国家自然科学基金
0+阅读 · 2015年12月31日
可证明的网络和数据匿名性及隐私增强身份管理关键技术研究
国家自然科学基金
3+阅读 · 2014年12月31日
网络用户隐私担忧与主动性泄露隐私信息之间的悖论:理论探索和基于社交网络的实证研究
国家自然科学基金
0+阅读 · 2014年12月31日
Keys on Doormats: Exposed API Credentials on the Web
Arxiv
0+阅读 · 3月16日
Streaming REST APIs for Large Financial Transaction Exports from Relational Databases
Arxiv
0+阅读 · 3月13日
Lockbox -- A Zero Trust Architecture for Secure Processing of Sensitive Cloud Workloads
Arxiv
0+阅读 · 3月9日
When Specifications Meet Reality: Uncovering API Inconsistencies in Ethereum Infrastructure
Arxiv
0+阅读 · 3月6日
Log Probability Tracking of LLM APIs
Arxiv
0+阅读 · 2月27日
Byam: Fixing Breaking Dependency Updates with Large Language Models
Arxiv
0+阅读 · 2月17日
Software Testing at the Network Layer: Automated HTTP API Quality Assessment and Security Analysis of Production Web Applications
Arxiv
0+阅读 · 2月9日
IssueGuard: Real-Time Secret Leak Prevention Tool for GitHub Issue Reports
Arxiv
0+阅读 · 2月8日
Mutation-based Evaluation of Cryptographic API Misuse Detectors
Arxiv
0+阅读 · 2月3日
AlienLM: Alienization of Language for API-Boundary Privacy in Black-Box LLMs
Arxiv
0+阅读 · 1月30日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
凭证
API
分析
云服务
交互
最新内容
大语言模型溯因推理的统一分类学与综述
大语言模型溯因推理的统一分类学与综述
专知会员服务
0+阅读 · 10分钟前
CVPR 2026 Findings | 算力砍半、性能不降!全开源 A₁模型:让机器人大模型真正走向落地
CVPR 2026 Findings | 算力砍半、性能不降!全开源 A₁模型:让机器人大模型真正走向落地
专知会员服务
0+阅读 · 23分钟前
大语言模型与国防战略:升级风险与国家安全挑战(综述)
大语言模型与国防战略:升级风险与国家安全挑战(综述)
专知会员服务
5+阅读 · 今天4:52
《基于机器学习预测模型识别新型超视距战术及DARPA AIR智能体误差分析》
《基于机器学习预测模型识别新型超视距战术及DARPA AIR智能体误差分析》
专知会员服务
9+阅读 · 4月11日
以机器速度作战:人工智能与美陆军反火力作战——第二部分
以机器速度作战:人工智能与美陆军反火力作战——第二部分
专知会员服务
6+阅读 · 4月11日
以机器速度作战:人工智能与美陆军反火力作战——第一部分
以机器速度作战:人工智能与美陆军反火力作战——第一部分
专知会员服务
5+阅读 · 4月11日
大视觉语言模型的高效推理:瓶颈剖析、关键技术与未来展望
大视觉语言模型的高效推理:瓶颈剖析、关键技术与未来展望
专知会员服务
6+阅读 · 4月11日
面向空中机器人的视觉语言导航:迈向大语言模型时代
面向空中机器人的视觉语言导航:迈向大语言模型时代
专知会员服务
6+阅读 · 4月11日
美/以-伊战争:停火与后续情景与影响分析
美/以-伊战争:停火与后续情景与影响分析
专知会员服务
3+阅读 · 4月11日
《美军如何实现快速、持续的小型无人机系统采办策略研究》最新110页
《美军如何实现快速、持续的小型无人机系统采办策略研究》最新110页
专知会员服务
6+阅读 · 4月11日
美国-以色列-伊朗战争:是否会动用地面部队?
美国-以色列-伊朗战争:是否会动用地面部队?
专知会员服务
1+阅读 · 4月11日
伊朗冲突中的算法战:“史诗怒火”行动与人工智能战场
伊朗冲突中的算法战:“史诗怒火”行动与人工智能战场
专知会员服务
5+阅读 · 4月11日
《美陆军技术出版物:伤员响应、战术战伤救护与急救》2026最新254页
《美陆军技术出版物:伤员响应、战术战伤救护与急救》2026最新254页
专知会员服务
3+阅读 · 4月11日
美国协同作战飞机项目新型无人机发动机
美国协同作战飞机项目新型无人机发动机
专知会员服务
1+阅读 · 4月11日
反无人机 | 美陆军测试“金盾”传感器-射手网络,以机器速度进行反无人机蜂群
反无人机 | 美陆军测试“金盾”传感器-射手网络,以机器速度进行反无人机蜂群
专知会员服务
2+阅读 · 4月11日
相关VIP内容
《软件定义网络元素与机器代码的形式化验证》
《软件定义网络元素与机器代码的形式化验证》
专知会员服务
13+阅读 · 2025年11月18日
联邦API网关:将新端点快速集成到预定义模式中 | 最新53页
联邦API网关:将新端点快速集成到预定义模式中 | 最新53页
专知会员服务
16+阅读 · 2025年10月28日
深度学习中的架构后门:漏洞、检测与防御综述
深度学习中的架构后门:漏洞、检测与防御综述
专知会员服务
12+阅读 · 2025年7月19日
军事系统互操作性《国防应用程序接口 (API) 技术指南》美国防部76页
军事系统互操作性《国防应用程序接口 (API) 技术指南》美国防部76页
专知会员服务
54+阅读 · 2025年1月20日
【2024新书】面向Python开发者的OpenAI GPT:使用GPT-4等构建人工智能应用的艺术和科学,323页pdf
【2024新书】面向Python开发者的OpenAI GPT:使用GPT-4等构建人工智能应用的艺术和科学,323页pdf
专知会员服务
86+阅读 · 2024年2月24日
【2023新书】用ChatGPT API构建AI应用:通过开发十个创新的AI项目掌握ChatGPT、Whisper和DALL-E
【2023新书】用ChatGPT API构建AI应用:通过开发十个创新的AI项目掌握ChatGPT、Whisper和DALL-E
专知会员服务
136+阅读 · 2023年9月27日
【2023新书】给Python程序员的GPT指南
【2023新书】给Python程序员的GPT指南
专知会员服务
170+阅读 · 2023年5月9日
首篇《后门学习综述》论文发布,阐述AI系统训练过程的安全性问题
专知会员服务
31+阅读 · 2020年11月21日
【VLDB2020】构建高吞吐量许可的区块链结构:挑战和机遇,190页ppt
【VLDB2020】构建高吞吐量许可的区块链结构:挑战和机遇,190页ppt
专知会员服务
16+阅读 · 2020年9月25日
机器学习隐私综述论文,An Overview of Privacy in Machine Learning
机器学习隐私综述论文,An Overview of Privacy in Machine Learning
专知会员服务
81+阅读 · 2020年5月20日
热门VIP内容
相关资讯
八个不容错过的 GitHub Copilot 功能!
八个不容错过的 GitHub Copilot 功能!
CSDN
11+阅读 · 2022年9月22日
客户端私钥如何保存?
客户端私钥如何保存?
黑客技术与网络安全
13+阅读 · 2019年8月24日
【数据中台】什么是数据中台?
【数据中台】什么是数据中台?
产业智能官
18+阅读 · 2019年7月30日
iOS如何区分App和SDK内部crash
iOS如何区分App和SDK内部crash
CocoaChina
11+阅读 · 2019年4月17日
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
AI研习社
10+阅读 · 2019年3月18日
被动DNS,一个被忽视的安全利器
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
25+阅读 · 2019年3月8日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
【干货】通过OpenFace来理解人脸识别
【干货】通过OpenFace来理解人脸识别
专知
56+阅读 · 2018年1月23日
视频教程【第10期】 | 如何通过调用API来搭建一个聊天机器人
视频教程【第10期】 | 如何通过调用API来搭建一个聊天机器人
AI100
10+阅读 · 2017年8月25日
相关论文
Keys on Doormats: Exposed API Credentials on the Web
Arxiv
0+阅读 · 3月16日
Streaming REST APIs for Large Financial Transaction Exports from Relational Databases
Arxiv
0+阅读 · 3月13日
Lockbox -- A Zero Trust Architecture for Secure Processing of Sensitive Cloud Workloads
Arxiv
0+阅读 · 3月9日
When Specifications Meet Reality: Uncovering API Inconsistencies in Ethereum Infrastructure
Arxiv
0+阅读 · 3月6日
Log Probability Tracking of LLM APIs
Arxiv
0+阅读 · 2月27日
Byam: Fixing Breaking Dependency Updates with Large Language Models
Arxiv
0+阅读 · 2月17日
Software Testing at the Network Layer: Automated HTTP API Quality Assessment and Security Analysis of Production Web Applications
Arxiv
0+阅读 · 2月9日
IssueGuard: Real-Time Secret Leak Prevention Tool for GitHub Issue Reports
Arxiv
0+阅读 · 2月8日
Mutation-based Evaluation of Cryptographic API Misuse Detectors
Arxiv
0+阅读 · 2月3日
AlienLM: Alienization of Language for API-Boundary Privacy in Black-Box LLMs
Arxiv
0+阅读 · 1月30日
相关基金
移动互联网的用户隐私保护研究
国家自然科学基金
2+阅读 · 2017年12月31日
云存储中基于无证书加密的数据机密性保护与访问控制
国家自然科学基金
1+阅读 · 2015年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于负调查的云数据隐私保护关键问题研究
国家自然科学基金
1+阅读 · 2015年12月31日
非确定型Web服务流程重组的可靠性验证技术
国家自然科学基金
1+阅读 · 2015年12月31日
编码和信息安全中的数学问题
国家自然科学基金
0+阅读 · 2015年12月31日
可信多云协作关键安全问题研究
国家自然科学基金
0+阅读 · 2015年12月31日
可证明的网络和数据匿名性及隐私增强身份管理关键技术研究
国家自然科学基金
3+阅读 · 2014年12月31日
网络用户隐私担忧与主动性泄露隐私信息之间的悖论:理论探索和基于社交网络的实证研究
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top