L-aqwa Vulnerabbiltajiet tal-API OATH
Vulnerabbiltajiet ta' l-API ta' l-OATH ta' Fuq: Intro
Meta niġu għall-isfruttamenti, l-APIs huma l-aqwa post fejn tibda. API l-aċċess normalment jikkonsisti fi tliet partijiet. Il-klijenti jinħarġu tokens minn Server ta' Awtorizzazzjoni, li jaħdem flimkien mal-APIs. L-API tirċievi tokens ta 'aċċess mill-klijent u tapplika regoli ta' awtorizzazzjoni speċifiċi għad-dominju bbażati fuqhom.
L-applikazzjonijiet moderni tas-softwer huma vulnerabbli għal varjetà ta' perikli. Żomm aġġornat dwar l-isfruttamenti l-aktar riċenti u d-difetti tas-sigurtà; li jkun hemm benchmarks għal dawn il-vulnerabbiltajiet huwa essenzjali biex tiġi żgurata s-sigurtà tal-applikazzjoni qabel ma jseħħ attakk. Applikazzjonijiet ta' partijiet terzi qed jiddependu dejjem aktar fuq il-protokoll OAuth. L-utenti se jkollhom esperjenza ġenerali aħjar għall-utent, kif ukoll login u awtorizzazzjoni aktar mgħaġġla, grazzi għal din it-teknoloġija. Jista' jkun aktar sigur minn awtorizzazzjoni konvenzjonali peress li l-utenti m'għandhomx għalfejn jiżvelaw il-kredenzjali tagħhom mal-applikazzjoni ta' parti terza sabiex ikollhom aċċess għal riżors partikolari. Filwaqt li l-protokoll innifsu huwa sigur u sigur, il-mod kif jiġi implimentat jista 'jħallik miftuħ għall-attakk.
Meta tfassal u tospita APIs, dan l-artikolu jiffoka fuq vulnerabbiltajiet tipiċi OAuth, kif ukoll diversi mitigazzjonijiet tas-sigurtà.
Awtorizzazzjoni tal-Livell ta' Oġġett Imkisser
Hemm wiċċ ta 'attakk vast jekk tinkiser l-awtorizzazzjoni peress li l-APIs jipprovdu aċċess għall-oġġetti. Peress li l-oġġetti aċċessibbli mill-API għandhom ikunu awtentikati, dan huwa meħtieġ. Implimenta kontrolli tal-awtorizzazzjoni fil-livell tal-oġġett billi tuża gateway tal-API. Dawk biss li għandhom il-kredenzjali tal-permess xierqa għandhom jitħallew aċċess.
Awtentikazzjoni tal-Utent miksur
Tokens mhux awtorizzati huma mod ieħor frekwenti għall-attakkanti biex jiksbu aċċess għall-APIs. Is-sistemi ta 'awtentikazzjoni jistgħu jiġu hacked, jew ċavetta API tista' tiġi esposta bi żball. It-tokens tal-awtentikazzjoni jistgħu jkunu użati mill-hackers biex jiksbu aċċess. Awtentika n-nies biss jekk ikunu jistgħu jiġu fdati, u uża passwords b'saħħithom. B'OAuth, tista' tmur lil hinn minn sempliċi ċwievet API u tikseb aċċess għad-dejta tiegħek. Għandek dejjem taħseb dwar kif ser tidħol u toħroġ minn post. OAuth MTLS Sender Constrained Tokens jistgħu jintużaw flimkien ma' Mutual TLS biex jiggarantixxu li l-klijenti ma jaġixxux ħażin u jgħaddu tokens lill-parti mhux korretta waqt li jaċċessaw magni oħra.
Promozzjoni API:
Esponiment Eċċessiv tad-Data
M'hemm l-ebda restrizzjonijiet fuq in-numru ta' endpoints li jistgħu jiġu ppubblikati. Ħafna mill-ħin, mhux il-karatteristiċi kollha huma disponibbli għall-utenti kollha. Billi tesponi aktar dejta milli hu assolutament meħtieġ, tpoġġi lilek innifsek u lill-oħrajn fil-periklu. Evita li tiżvela sensittivi informazzjoni sakemm ikun assolutament meħtieġ. L-iżviluppaturi jistgħu jispeċifikaw min għandu aċċess għal xiex billi jużaw Ambiti u Talbiet OAuth. It-talbiet jistgħu jispeċifikaw għal liema sezzjonijiet tad-dejta għandu aċċess għalihom utent. Il-kontroll tal-aċċess jista' jsir aktar sempliċi u eħfef biex jiġi ġestit bl-użu ta' struttura standard fl-APIs kollha.
Nuqqas ta' Riżorsi u Limitazzjoni tar-Rata
Il-kpiepel suwed ħafna drabi jużaw attakki ta' ċaħda ta' servizz (DoS) bħala mod ta' forza bruta biex jissuperaw server u b'hekk inaqqsu l-uptime tiegħu għal żero. Bla ebda restrizzjoni fuq ir-riżorsi li jistgħu jissejħu, API hija vulnerabbli għal attakk debilitanti. 'B'użu ta' portal tal-API jew għodda ta' ġestjoni, tista' tistabbilixxi restrizzjonijiet tar-rati għall-APIs. L-iffiltrar u l-paginazzjoni għandhom jiġu inklużi, kif ukoll it-tweġibiet ikunu ristretti.
Konfigurazzjoni Ħażina tas-Sistema tas-Sigurtà
Linji gwida differenti ta' konfigurazzjoni tas-sigurtà huma pjuttost komprensivi, minħabba l-probabbiltà sinifikanti ta' konfigurazzjoni ħażina tas-sigurtà. Numru ta' affarijiet żgħar jistgħu jipperikolaw is-sigurtà tal-pjattaforma tiegħek. Huwa possibbli li kpiepel suwed bi skopijiet ulterjuri jistgħu jiskopru informazzjoni sensittiva mibgħuta bi tweġiba għal mistoqsijiet malformati, bħala eżempju.
Assenjazzjoni tal-Quddiesa
Sempliċement għax endpoint mhuwiex definit pubblikament ma jimplikax li ma jistax jiġi aċċessat mill-iżviluppaturi. API sigrieta tista' tiġi interċettata faċilment u reverse-engineered minn hackers. Agħti ħarsa lejn dan l-eżempju bażiku, li juża Bearer Token miftuħ f'API "privata". Min-naħa l-oħra, dokumentazzjoni pubblika tista’ teżisti għal xi ħaġa li hija maħsuba esklussivament għall-użu personali. L-informazzjoni esposta tista' tintuża minn kpiepel suwed biex mhux biss taqra iżda wkoll timmanipula l-karatteristiċi tal-oġġett. Ikkunsidra lilek innifsek bħala hacker hekk kif tfittex punti dgħajfa potenzjali fid-difiżi tiegħek. Ħalli biss dawk li għandhom drittijiet xierqa aċċess għal dak li ġie rritornat. Biex timminimizza l-vulnerabbiltà, illimita l-pakkett tar-rispons tal-API. Dawk li wieġbu m'għandhomx iżidu links li mhumiex assolutament meħtieġa.
API promossa:
Ġestjoni mhux xierqa tal-Assi
Minbarra t-titjib tal-produttività tal-iżviluppatur, il-verżjonijiet u d-dokumentazzjoni attwali huma essenzjali għas-sigurtà tiegħek. Ipprepara għall-introduzzjoni ta 'verżjonijiet ġodda u t-tneħħija ta' APIs qodma ħafna minn qabel. Uża APIs ġodda minflok tħalli dawk anzjani jibqgħu jintużaw. Speċifikazzjoni API tista' tintuża bħala sors primarju ta' verità għad-dokumentazzjoni.
Injezzjoni
L-APIs huma vulnerabbli għall-injezzjoni, iżda wkoll l-apps tal-iżviluppaturi ta' partijiet terzi. Jista' jintuża kodiċi malizzjuż biex titħassar data jew tisraq informazzjoni kunfidenzjali, bħal passwords u numri ta' karti ta' kreditu. L-iktar lezzjoni importanti li għandek tieħu minn dan hija li ma tiddependix fuq is-settings default. Il-maniġment jew il-fornitur tal-portal tiegħek għandu jkun kapaċi jakkomoda l-ħtiġijiet uniċi tal-applikazzjoni tiegħek. Messaġġi ta' żball m'għandhomx jinkludu informazzjoni sensittiva. Biex tipprevjeni li d-dejta tal-identità titnixxi barra mis-sistema, il-Psewdonimi tal-Pairwise għandhom jintużaw fit-tokens. Dan jiżgura li l-ebda klijent ma jista' jaħdem flimkien biex jidentifika utent.
Logging U Monitoraġġ Insuffiċjenti
Meta jseħħ attakk, it-timijiet jeħtieġu strateġija ta' reazzjoni maħsuba sew. L-iżviluppaturi se jkomplu jisfruttaw il-vulnerabbiltajiet mingħajr ma jinqabdu jekk ma tkunx fis-seħħ sistema ta' qtugħ u monitoraġġ affidabbli, li żżid it-telf u tagħmel ħsara lill-perċezzjoni tal-pubbliku tal-kumpanija. Adotta strateġija stretta ta 'monitoraġġ API u ta' ttestjar tal-endpoint tal-produzzjoni. Testers tal-kpiepel bojod li jsibu vulnerabbiltajiet kmieni għandhom jiġu ppremjati bi skema ta’ bounty. It-traċċa tal-ġurnal tista' tittejjeb billi tiġi inkluża l-identità tal-utent fit-tranżazzjonijiet tal-API. Kun żgur li s-saffi kollha tal-arkitettura tal-API tiegħek jiġu vverifikati billi tuża d-dejta tal-Access Token.
konklużjoni
Il-periti tal-pjattaformi jistgħu jarmaw is-sistemi tagħhom biex iżommu pass 'il quddiem mill-attakkanti billi jsegwu kriterji ta' vulnerabbiltà stabbiliti. Minħabba li l-APIs jistgħu jipprovdu aċċessibilità għal Informazzjoni Personalment Identifikabbli (PII), iż-żamma tas-sigurtà ta’ dawn is-servizzi hija kritika kemm għall-istabbiltà tal-kumpanija kif ukoll għall-konformità mal-leġiżlazzjoni bħall-GDPR. Qatt ibgħat tokens OAuth direttament fuq API mingħajr ma tuża API Gateway u l-Approċċ Phantom Token.
API promossa:
