FixVibe
Covered by FixVibemedium

API Təhlükəsizlik Yoxlama Siyahısı: Canlı yayımdan əvvəl yoxlamaq üçün 12 şey

API-lər müasir veb proqramların əsasını təşkil edir, lakin çox vaxt ənənəvi ön uçların təhlükəsizlik sərtliyindən məhrumdur. Bu tədqiqat məqaləsi məlumatların pozulmasının və xidmətdən sui-istifadənin qarşısını almaq üçün girişə nəzarət, sürətin məhdudlaşdırılması və mənşəli resurs mübadiləsinə (CORS) diqqət yetirərək API-lərin təhlükəsizliyini təmin etmək üçün vacib yoxlama siyahısını təsvir edir.

CWE-285CWE-799CWE-942

Təsir

Təhlükəli API-lər təcavüzkarlara istifadəçi interfeyslərindən yan keçməyə və [S1] backend verilənlər bazası və xidmətləri ilə birbaşa qarşılıqlı əlaqədə olmağa imkan verir. Bu, məlumatların icazəsiz çıxarılmasına, hesabın qəddar qüvvə ilə ələ keçirilməsinə və ya resursun tükənməsi [S3][S5] səbəbindən xidmətin əlçatan olmamasına səbəb ola bilər.

Kök Səbəb

Əsas kök səbəb kifayət qədər doğrulama və qorunma [S1] olmayan son nöqtələr vasitəsilə daxili məntiqin ifşa edilməsidir. Tərtibatçılar tez-tez güman edirlər ki, əgər funksiya UI-də görünmürsə, o, təhlükəsizdir və bu, [S2] giriş nəzarətlərinin pozulmasına və həddən artıq çox mənşəyə etibar edən CORS icazəli [S4] siyasətlərinə gətirib çıxarır.

Essential API Təhlükəsizlik Yoxlama Siyahısı

  • Ciddi Giriş Nəzarətini Tətbiq Edin: Hər bir son nöqtə sorğuçunun [S2] əldə edilən xüsusi resurs üçün müvafiq icazələrə malik olduğunu yoxlamalıdır.
  • Rəytin məhdudlaşdırılmasını həyata keçirin: Müştərinin [S3] müəyyən müddət ərzində edə biləcəyi sorğuların sayını məhdudlaşdırmaqla avtomatlaşdırılmış sui-istifadə və DoS hücumlarından qoruyun.
  • CORS-ni düzgün konfiqurasiya edin: Doğrulanmış son nöqtələr üçün joker mənşəli (*) istifadə etməyin. Saytlararası məlumat sızmasının qarşısını almaq üçün icazə verilən mənşələri açıq şəkildə müəyyən edin [S4].
  • Audit Son Nöqtə Görünüşü: [S1] həssas funksionallığını ifşa edə biləcək "gizli" və ya sənədsiz son nöqtələri müntəzəm olaraq skan edin.

FixVibe bunu necə sınaqdan keçirir

FixVibe indi bu yoxlama siyahısını çoxsaylı canlı yoxlamalar vasitəsilə əhatə edir. Aktiv qapalı zondlar auth son nöqtə sürətinin məhdudlaşdırılmasını, CORS, CSRF, SQL inyeksiyası, auth-flow zəifliklərini və digər API ilə bağlı problemləri yalnız yoxlamadan sonra yoxlayır. Passiv yoxlamalar təhlükəsizlik başlıqlarını, ictimai API sənədlərini və OpenAPI ifşasını və müştəri paketlərindəki sirləri yoxlayır. Repo skanları təhlükəli CORS, xam SQL interpolasiyası, zəif JWT sirləri, yalnız deşifrə edilmiş JWT istifadəsi, veb-qancalı imza boşluqları və kod səviyyəli risk təhlilini əlavə edir.