અસર
ચેડા કરાયેલ API હુમલાખોરોને વપરાશકર્તા ઇન્ટરફેસને બાયપાસ કરવા અને બેકએન્ડ ડેટાબેસેસ અને સેવાઓ [S1] સાથે સીધો સંપર્ક કરવાની મંજૂરી આપે છે. આનાથી અનધિકૃત ડેટા એક્સ્ફિલ્ટરેશન, બ્રુટ-ફોર્સ દ્વારા એકાઉન્ટ ટેકઓવર અથવા રિસોર્સ એક્ઝ્યુશન [S3][S5]ને કારણે સેવાની અનુપલબ્ધતા તરફ દોરી શકે છે.
મૂળ કારણ
પ્રાથમિક મૂળ કારણ એ એન્ડપોઇન્ટ્સ દ્વારા આંતરિક તર્કનું એક્સપોઝર છે જેમાં પૂરતી માન્યતા અને સુરક્ષા [S1] નથી. વિકાસકર્તાઓ વારંવાર ધારે છે કે જો કોઈ સુવિધા UI માં દેખાતી નથી, તો તે સુરક્ષિત છે, જેના કારણે તૂટેલા એક્સેસ નિયંત્રણો [S2] અને પરવાનગી આપતી CORS નીતિઓ કે જે ઘણા બધા મૂળ [S4] પર વિશ્વાસ કરે છે.
આવશ્યક API સુરક્ષા ચેકલિસ્ટ
- સખ્ત એક્સેસ કંટ્રોલ લાગુ કરો: દરેક એન્ડપોઇન્ટે ચકાસવું આવશ્યક છે કે વિનંતીકર્તા પાસે [S2] એક્સેસ કરવામાં આવતા ચોક્કસ સંસાધન માટે યોગ્ય પરવાનગીઓ છે.
- દર મર્યાદાનો અમલ કરો: ચોક્કસ સમયમર્યાદા [S3] માં ગ્રાહક કરી શકે તેવી વિનંતીઓની સંખ્યાને મર્યાદિત કરીને સ્વયંસંચાલિત દુરુપયોગ અને DoS હુમલાઓ સામે રક્ષણ કરો.
- CORS ને યોગ્ય રીતે ગોઠવો: પ્રમાણિત અંતિમ બિંદુઓ માટે વાઇલ્ડકાર્ડ ઓરિજિન્સ (
*) નો ઉપયોગ કરવાનું ટાળો. ક્રોસ-સાઇટ ડેટા લીકેજ [S4] અટકાવવા માટે મંજૂર મૂળને સ્પષ્ટપણે વ્યાખ્યાયિત કરો. - ઓડિટ એન્ડપોઇન્ટ વિઝિબિલિટી: "છુપાયેલા" અથવા બિનદસ્તાવેજીકૃત એન્ડપોઇન્ટ્સ માટે નિયમિતપણે સ્કેન કરો જે સંવેદનશીલ કાર્યક્ષમતા [S1] ને ઉજાગર કરી શકે છે.
FixVibe તેના માટે કેવી રીતે પરીક્ષણ કરે છે
FixVibe હવે આ ચેકલિસ્ટને બહુવિધ લાઇવ ચેક દ્વારા આવરી લે છે. સક્રિય-ગેટેડ પ્રોબ્સ ચકાસણી પછી જ ઓથ એન્ડપોઇન્ટ રેટ લિમિટીંગ, CORS, CSRF, SQL ઇન્જેક્શન, ઓથ-ફ્લો નબળાઈઓ અને અન્ય API-સામનો ધરાવતી સમસ્યાઓનું પરીક્ષણ કરે છે. નિષ્ક્રિય તપાસ સુરક્ષા હેડરો, સાર્વજનિક API દસ્તાવેજીકરણ અને OpenAPI એક્સપોઝર અને ક્લાયંટ બંડલ્સમાં રહસ્યોનું નિરીક્ષણ કરે છે. રેપો સ્કેન અસુરક્ષિત CORS, કાચો SQL પ્રક્ષેપ, નબળા JWT રહસ્યો, માત્ર-ડિકોડ-JWT વપરાશ, વેબહૂક સહી અંતર અને નિર્ભરતા સમસ્યાઓ માટે કોડ-સ્તરની જોખમ સમીક્ષા ઉમેરે છે.