প্রভাব
আপস করা APIগুলি আক্রমণকারীদের ব্যবহারকারীর ইন্টারফেস বাইপাস করতে এবং ব্যাকএন্ড ডাটাবেস এবং পরিষেবা [S1] এর সাথে সরাসরি ইন্টারঅ্যাক্ট করতে দেয়। এটি অননুমোদিত ডেটা অপসারণ, ব্রুট-ফোর্সের মাধ্যমে অ্যাকাউন্ট টেকওভার বা রিসোর্স ক্লান্তির কারণে পরিষেবা অনুপলব্ধ হতে পারে [S3][S5]।
মূল কারণ
প্রাথমিক মূল কারণ হল পর্যাপ্ত বৈধতা এবং সুরক্ষা [S1] নেই এমন শেষ পয়েন্টগুলির মাধ্যমে অভ্যন্তরীণ যুক্তির প্রকাশ। বিকাশকারীরা প্রায়শই অনুমান করে যে যদি কোনও বৈশিষ্ট্য UI-তে দৃশ্যমান না হয় তবে এটি সুরক্ষিত, যার ফলে ভাঙা অ্যাক্সেস নিয়ন্ত্রণ [S2] এবং অনুমতিমূলক CORS নীতিগুলি যা অনেকগুলি উত্স [S4] বিশ্বাস করে৷
প্রয়োজনীয় API নিরাপত্তা চেকলিস্ট
- কঠোর অ্যাক্সেস কন্ট্রোল প্রয়োগ করুন: প্রতিটি এন্ডপয়েন্টকে অবশ্যই যাচাই করতে হবে যে [S2] অ্যাক্সেস করা নির্দিষ্ট রিসোর্সের জন্য অনুরোধকারীর উপযুক্ত অনুমতি রয়েছে।
- মূল্য সীমিতকরণ: একটি নির্দিষ্ট সময়সীমা [S3] এর মধ্যে একটি ক্লায়েন্ট যে পরিমাণ অনুরোধ করতে পারে তার সংখ্যা সীমিত করে স্বয়ংক্রিয় অপব্যবহার এবং DoS আক্রমণ থেকে রক্ষা করুন৷
- CORS সঠিকভাবে কনফিগার করুন: প্রমাণীকৃত এন্ডপয়েন্টের জন্য ওয়াইল্ডকার্ড অরিজিন (
*) ব্যবহার করা এড়িয়ে চলুন। ক্রস-সাইট ডেটা লিকেজ [S4] রোধ করতে অনুমোদিত উত্সগুলি স্পষ্টভাবে সংজ্ঞায়িত করুন৷ - অডিট এন্ডপয়েন্ট ভিজিবিলিটি: নিয়মিতভাবে "লুকানো" বা নথিভুক্ত এন্ডপয়েন্টের জন্য স্ক্যান করুন যা সংবেদনশীল কার্যকারিতা [S1] প্রকাশ করতে পারে।
কিভাবে FixVibe এর জন্য পরীক্ষা করে
FixVibe এখন একাধিক লাইভ চেকের মাধ্যমে এই চেকলিস্টটি কভার করে। অ্যাক্টিভ-গেটেড প্রোব পরীক্ষা করে প্রমাণীকরণের এন্ডপয়েন্ট রেট লিমিটিং, CORS, CSRF, SQL ইনজেকশন, প্রমাণ-প্রবাহ দুর্বলতা এবং অন্যান্য API-মুখী সমস্যাগুলি যাচাই করার পরেই। প্যাসিভ চেক নিরাপত্তা শিরোনাম, সর্বজনীন API ডকুমেন্টেশন এবং OpenAPI এক্সপোজার এবং ক্লায়েন্ট বান্ডেলের গোপনীয়তা পরিদর্শন করে। রেপো স্ক্যানগুলি অনিরাপদ CORS, কাঁচা SQL ইন্টারপোলেশন, দুর্বল JWT সিক্রেটস, ডিকোড-শুধু JWT ব্যবহার, ওয়েবহুক স্বাক্ষর ফাঁক, এবং নির্ভরতা সমস্যাগুলির জন্য কোড-স্তরের ঝুঁকি পর্যালোচনা যোগ করে।