FixVibe
Covered by FixVibemedium

API Turvatarkistuslista: 12 asiaa, jotka on tarkistettava ennen suoraa lähetystä

API:t ovat nykyaikaisten verkkosovellusten selkäranka, mutta niistä puuttuu usein perinteisten käyttöliittymien tietoturva. Tässä tutkimusartikkelissa hahmotellaan olennainen tarkistuslista sovellusliittymien suojaamiseksi, ja siinä keskitytään kulunvalvontaan, nopeuden rajoittamiseen ja resurssien väliseen jakamiseen (CORS) tietomurtojen ja palvelun väärinkäytön estämiseksi.

CWE-285CWE-799CWE-942

Vaikutus

Vaarautuneiden sovellusliittymien avulla hyökkääjät voivat ohittaa käyttöliittymät ja olla suoraan vuorovaikutuksessa taustatietokantojen ja -palvelujen kanssa [S1]. Tämä voi johtaa luvattomaan tietojen suodattamiseen, tilien haltuunottoon raa'alla voimalla tai palvelun epäkäytettävyyteen resurssien ehtymisen vuoksi. [S3][S5].

Perussyy

Ensisijainen perimmäinen syy on sisäisen logiikan altistuminen päätepisteiden kautta, joilta puuttuu riittävä validointi ja suojaus. [S1]. Kehittäjät olettavat usein, että jos ominaisuus ei ole näkyvissä käyttöliittymässä, se on suojattu, mikä johtaa rikkinäisiin kulunvalvontatoimintoihin [S2] ja salliviin CORS-käytäntöihin, jotka luottavat liian moneen alkuperään [S4].

Olennainen API-turvatarkistuslista

  • Pakota tiukka käyttöoikeus: Jokaisen päätepisteen on varmistettava, että pyynnön esittäjällä on tarvittavat oikeudet käytettävään resurssiin [S2].
  • Toteutusnopeuden rajoitus: Suojaa automaattisilta väärinkäytöksiltä ja DoS-hyökkäyksiltä rajoittamalla pyyntöjen määrää, jonka asiakas voi tehdä tietyn ajanjakson sisällä. [S3].
  • Määritä CORS oikein: Vältä jokerimerkkien (*) käyttöä todennetuissa päätepisteissä. Määrittele erikseen sallitut alkuperät sivustojen välisen tietovuodon estämiseksi. [S4].
  • Tarkastuksen päätepisteiden näkyvyys: Tarkista säännöllisesti "piilotettuja" tai dokumentoimattomia päätepisteitä, jotka saattavat paljastaa arkaluonteisia toimintoja [S1].

Kuinka FixVibe testaa sitä

FixVibe kattaa nyt tämän tarkistuslistan useiden reaaliaikaisten tarkistusten kautta. Aktiivisilla porteilla varustetut anturit testaavat todennuspäätenopeuden rajoitusta, CORS:tä, CSRF:ää, SQL-lisäystä, todennuskulun heikkouksia ja muita API-ongelmia vasta vahvistuksen jälkeen. Passiiviset tarkistukset tarkastavat suojausotsikot, julkisen API-dokumentaation ja OpenAPI-altistuksen sekä asiakaspakettien salaisuudet. Repo-tarkistukset lisäävät kooditason riskitarkistuksen vaarallisten CORS-koodien, raaka-SQL-interpoloinnin, heikkojen JWT-salaisuuksien, vain koodinpurkukäytön JWT-käytön, webhook-allekirjoitusongelmien ja riippuvuusongelmien varalta.