Eragina
Konpromisatutako APIei esker, erasotzaileek erabiltzaile-interfazeak saihestu eta backend datu-base eta zerbitzuekin zuzenean elkarreragin dezakete [S1]. Horrek baimenik gabeko datuak kanporatzea, kontuak indar gordinaren bidez hartzea edo zerbitzuaren erabilgarritasunik ez izatea ekar dezake [S3][S5], baliabideak agortzeagatik.
Arrazoia
Oinarrizko arrazoi nagusia barne logikaren esposizioa da baliozkotze eta babes nahikorik ez duten amaierako puntuen bidez [S1]. Garatzaileek sarritan uste dute eginbide bat UI-an ikusten ez bada, segurua dela, apurtuta dauden sarbide-kontrolak [S2] eta jatorri gehiegi fidagarriak diren CORS gidalerro permisiboak eragiten dituela.
Ezinbestekoa API Segurtasun-zerrenda
- Sarbide-kontrol zorrotza betetzea: amaiera-puntu bakoitzak egiaztatu behar du eskatzaileak baimen egokiak dituela atzitzen ari den baliabide zehatzerako [S2].
- Inplementatu tasa-muga: babestu tratu txar automatizatuen eta DoS erasoetatik bezero batek epe zehatz batean egin ditzakeen eskaerak mugatuz [S3].
- CORS behar bezala konfiguratu: saihestu komodinen jatorria (
*) autentifikatutako puntuetarako erabiltzea. Zehaztu espresuki baimendutako jatorriak guneen arteko datu-isuriak saihesteko [S4]. - Adiekatu amaierako ikusgarritasuna: [S1] funtzionaltasun sentikorra ager dezaketen "ezkutuko" edo dokumentatu gabeko amaierako puntuak bilatzeko aldizka.
FixVibe probak nola egiten dituen
FixVibe-k zuzeneko egiaztapen ugariren bidez estaltzen du orain kontrol-zerrenda hau. Atepeko zundek autentifikazio-puntuaren tasa mugatzea, CORS, CSRF, SQL injekzioa, autentifikazio-fluxuaren ahuleziak eta beste API-ri aurre egiteko beste arazo batzuk egiaztatu ondoren soilik probatzen dituzte. Egiaztapen pasiboek segurtasun-goiburuak, API dokumentazio publikoa eta OpenAPI esposizioa eta bezero-sortetako sekretuak ikuskatzen dituzte. Repo-eskaneek kode-mailako arriskuen berrikuspena gehitzen dute CORS segurua, SQL interpolazio gordina, JWT sekretu ahulak, JWT deskodetzeko soilik, webhook sinadura hutsuneak eta mendekotasun arazoak.