Највеће рањивости ОАТХ АПИ-ја
Највеће рањивости ОАТХ АПИ-ја: Увод
Када је реч о експлоатацији, АПИ-ји су најбоље место за почетак. АПИ за приступ се обично састоји из три дела. Клијентима токене издаје ауторизациони сервер, који ради заједно са АПИ-јима. АПИ прима приступне токене од клијента и на основу њих примењује правила ауторизације специфична за домен.
Савремене софтверске апликације су подложне разним опасностима. Будите у току са најновијим експлоатацијама и безбедносним пропустима; поседовање мерила за ове рањивости је од суштинског значаја да би се осигурала безбедност апликације пре него што се напад деси. Апликације трећих страна се све више ослањају на ОАутх протокол. Корисници ће имати боље опште корисничко искуство, као и бржу пријаву и ауторизацију, захваљујући овој технологији. Може бити сигурније од конвенционалне ауторизације јер корисници не морају да откривају своје акредитиве у апликацији треће стране да би приступили датом ресурсу. Иако је сам протокол безбедан и безбедан, начин на који се примењује може вас оставити отвореним за напад.
Приликом дизајнирања и хостовања АПИ-ја, овај чланак се фокусира на типичне ОАутх рањивости, као и на различита безбедносна ублажавања.
Ауторизација на нивоу оштећеног објекта
Постоји огромна површина напада ако се ауторизација прекрши јер АПИ-ји пружају приступ објектима. Пошто ставке којима је доступан АПИ морају бити потврђене, ово је неопходно. Имплементирајте провере ауторизације на нивоу објекта користећи АПИ мрежни пролаз. Приступ треба да буде дозвољен само онима са одговарајућим акредитивима.
Покварена аутентификација корисника
Неовлашћени токени су још један чест начин да нападачи добију приступ АПИ-јима. Системи за аутентификацију могу бити хаковани или АПИ кључ може бити грешком изложен. Токени за аутентификацију могу бити користе хакери да стекну приступ. Аутентификујте људе само ако им се може веровати и користите јаке лозинке. Помоћу ОАутх-а можете превазићи пуке АПИ кључеве и добити приступ својим подацима. Увек треба да размишљате о томе како ћете ући и изаћи са места. ОАутх МТЛС Ограничени токени пошиљаоца се могу користити заједно са узајамним ТЛС-ом како би се гарантовало да се клијенти неће лоше понашати и прослеђивати токене погрешној страни док приступају другим машинама.
АПИ промоција:
Прекомерна изложеност подацима
Не постоје ограничења у погледу броја крајњих тачака које се могу објавити. Већину времена нису све функције доступне свим корисницима. Излажући више података него што је апсолутно неопходно, доводите себе и друге у опасност. Избегавајте откривање осетљивих информација све док то није апсолутно неопходно. Програмери могу да одреде ко има приступ чему користећи ОАутх опсеге и захтеве. Захтеви могу да прецизирају којим деловима података корисник има приступ. Контрола приступа може бити поједностављена и лакша за управљање коришћењем стандардне структуре у свим АПИ-јима.
Недостатак ресурса и ограничење стопе
Црни шешири често користе нападе ускраћивања услуге (ДоС) као груби начин да преплаве сервер и тако смање његово време рада на нулу. Без ограничења на ресурсе који се могу позвати, АПИ је рањив на исцрпљујући напад. „Користећи АПИ пролаз или алатку за управљање, можете поставити ограничења брзине за АПИ-је. Треба укључити филтрирање и пагинацију, као и ограничење одговора.
Погрешна конфигурација безбедносног система
Различите смернице за безбедносну конфигурацију су прилично свеобухватне, због велике вероватноће безбедносне погрешне конфигурације. Бројне ситнице могу угрозити сигурност ваше платформе. Могуће је да црни шешири са скривеном сврхом могу открити осетљиве информације послате као одговор на погрешно обликоване упите, на пример.
Масс Ассигнмент
Само зато што крајња тачка није јавно дефинисана не значи да јој програмери не могу приступити. Хакери могу лако да пресретну и обрну инжењеринг тајни АПИ. Погледајте овај основни пример, који користи отворени токен носиоца у „приватном“ АПИ-ју. С друге стране, јавна документација може постојати за нешто што је искључиво за личну употребу. Изложене информације могу да користе црни шешири не само да читају, већ и да манипулишу карактеристикама објекта. Сматрајте себе хакером док тражите потенцијалне слабе тачке у својој одбрани. Дозволите само онима са одговарајућим правима приступ ономе што је враћено. Да бисте смањили рањивост, ограничите пакет одговора АПИ-ја. Испитаници не би требало да додају никакве везе које нису апсолутно обавезне.
Промовисани АПИ:
Неправилно управљање имовином
Поред повећања продуктивности програмера, актуелне верзије и документација су од суштинског значаја за вашу безбедност. Припремите се за увођење нових верзија и застарелост старих АПИ-ја далеко унапред. Користите новије АПИ-је уместо да дозволите да старији остану у употреби. АПИ спецификација би се могла користити као примарни извор истине за документацију.
Убризгавање
АПИ-ји су рањиви на убризгавање, али и апликације треће стране за програмере. Злонамерни код се може користити за брисање података или крађу поверљивих информација, као што су лозинке и бројеви кредитних картица. Најважнија лекција коју треба извући из овога је да не зависите од подразумеваних поставки. Ваш менаџмент или добављач мрежног пролаза би требало да буде у стању да задовољи ваше јединствене потребе апликације. Поруке о грешци не би требало да садрже осетљиве информације. Да би се спречило цурење података о идентитету ван система, у токенима би требало да се користе псеудоними у пару. Ово осигурава да ниједан клијент не може радити заједно на идентификацији корисника.
Недовољно евидентирање и праћење
Када дође до напада, тимовима је потребна добро осмишљена стратегија реаговања. Програмери ће наставити да искориштавају рањивости а да не буду ухваћени ако не постоји поуздан систем евидентирања и праћења, што ће повећати губитке и оштетити перцепцију јавности о компанији. Усвојите стриктно праћење АПИ-ја и стратегију тестирања крајње тачке производње. Тестери белих шешира који рано пронађу рањивости треба да буду награђени шемом награда. Траг евиденције се може побољшати укључивањем идентитета корисника у АПИ трансакције. Уверите се да су сви слојеви ваше АПИ архитектуре ревидирани коришћењем података токена приступа.
Zakljucak
Архитекте платформе могу опремити своје системе да буду корак испред нападача пратећи утврђене критеријуме рањивости. Пошто АПИ-ји могу да обезбеде доступност личним идентификационим информацијама (ПИИ), одржавање безбедности таквих услуга је кључно за стабилност компаније и за усклађеност са законодавством као што је ГДПР. Никада немојте слати ОАутх токене директно преко АПИ-ја без коришћења АПИ мрежног пролаза и Пхантом Токен приступа.
Промовисани АПИ:
