FixVibe
Covered by FixVibemedium

API Անվտանգության ստուգացանկ. 12 բան, որ պետք է ստուգել ուղիղ եթերից առաջ

API-ները ժամանակակից վեբ հավելվածների հիմքն են, սակայն հաճախ բացակայում են ավանդական առջևի անվտանգության խստությունը: Այս հետազոտական ​​հոդվածը ուրվագծում է API-ների ապահովման համար անհրաժեշտ ստուգաթերթը՝ կենտրոնանալով մուտքի վերահսկման, տոկոսադրույքի սահմանափակման և խաչաձեւ ծագման ռեսուրսների փոխանակման վրա (CORS)՝ կանխելու տվյալների խախտումները և ծառայությունների չարաշահումը:

CWE-285CWE-799CWE-942

Ազդեցություն

Վտանգված API-ները հարձակվողներին թույլ են տալիս շրջանցել օգտատերերի միջերեսները և ուղղակիորեն շփվել հետնամասի տվյալների բազաների և [S1] ծառայությունների հետ: Սա կարող է հանգեցնել տվյալների չարտոնված արտազատման, բիրտ ուժի միջոցով հաշվի տիրանալու կամ ծառայության անհասանելիության՝ ռեսուրսների սպառման պատճառով [S3][S5]:

Արմատային պատճառ

Հիմնական արմատական պատճառը ներքին տրամաբանության բացահայտումն է վերջնական կետերի միջոցով, որոնք չունեն բավարար վավերացում և պաշտպանություն [S1]: Մշակողները հաճախ ենթադրում են, որ եթե որևէ հատկանիշ տեսանելի չէ միջերեսում, այն ապահով է, ինչը հանգեցնում է մուտքի վերահսկման [S2]-ի և թույլատրելի CORS քաղաքականության, որոնք վստահում են չափազանց շատ ծագման [S4]:

Հիմնական API անվտանգության ստուգաթերթ

  • Իրականացնել մուտքի խիստ հսկողություն. յուրաքանչյուր վերջնակետ պետք է ստուգի, որ հայցողն ունի համապատասխան թույլտվություններ [S2] կոնկրետ ռեսուրսի համար:
  • Իրականացման տոկոսադրույքի սահմանափակում. Պաշտպանեք ավտոմատացված չարաշահումից և DoS հարձակումներից՝ սահմանափակելով հաճախորդի կողմից կատարվող հարցումների քանակը որոշակի ժամկետում [S3]:
  • Կարգավորեք CORS-ը ճիշտ. Խուսափեք նիշերի սկզբնաղբյուրների օգտագործումից (*) վավերացված վերջնակետերի համար: Հստակորեն սահմանեք թույլատրելի սկզբնաղբյուրները՝ կանխելու միջկայքային տվյալների արտահոսքը [S4]:
  • Աուդիտի վերջնակետի տեսանելիություն. Պարբերաբար սկանավորեք «թաքնված» կամ չփաստաթղթավորված վերջնակետեր, որոնք կարող են բացահայտել [S1] զգայուն ֆունկցիոնալությունը:

Ինչպես է FixVibe-ն փորձարկում դրա համար

FixVibe-ն այժմ ներառում է այս ստուգաթերթը բազմաթիվ ուղիղ ստուգումների միջոցով: Ակտիվ փակ զոնդերը ստուգում են վավերացման վերջնակետի արագության սահմանափակումը, CORS, CSRF, SQL ներարկում, վավերական հոսքի թույլ կողմերը և API-ի հետ կապված այլ խնդիրները միայն ստուգումից հետո: Պասիվ ստուգումները ստուգում են անվտանգության վերնագրերը, հանրային API փաստաթղթերը և OpenAPI-ի բացահայտումը, ինչպես նաև հաճախորդների փաթեթների գաղտնիքները: Repo-ի սկանավորումներն ավելացնում են կոդերի մակարդակի ռիսկերի վերանայում ոչ անվտանգ CORS-ի, չմշակված SQL ինտերպոլացիայի, թույլ JWT գաղտնիքների, միայն վերծանման համար JWT օգտագործման, վեբ-կապիկի ստորագրության վերացման խնդիրների և.