Áhrif
Forritaskil í hættu gera árásarmönnum kleift að komast framhjá notendaviðmótum og hafa bein samskipti við bakenda gagnagrunna og þjónustu [S1]. Þetta getur leitt til óleyfilegrar gagnasíunar, yfirtöku reikninga með grimmilegum krafti eða ótiltækrar þjónustu vegna tæmingar á auðlindum [S3][S5].
Orsök
Aðal undirrótin er útsetning innri rökfræði í gegnum endapunkta sem skortir nægilega staðfestingu og vernd [S1]. Hönnuðir gera oft ráð fyrir því að ef eiginleiki sést ekki í notendaviðmótinu sé hann öruggur, sem leiðir til bilaðrar aðgangsstýringar [S2] og leyfilegra CORS stefnur sem treysta of mörgum uppruna [S4].
Nauðsynlegur API öryggisgátlisti
- Framfylgja strangri aðgangsstýringu: Sérhver endapunktur verður að sannreyna að beiðandi hafi viðeigandi heimildir fyrir tiltekna auðlind sem verið er að fá aðgang að [S2].
- Innleiða hlutfallstakmörkun: Verndaðu gegn sjálfvirkri misnotkun og DoS árásum með því að takmarka fjölda beiðna sem viðskiptavinur getur gert innan ákveðins tímaramma [S3].
- Stilla CORS rétt: Forðastu að nota algildisuppruna (
*) fyrir staðfesta endapunkta. Skilgreindu beinlínis leyfilegan uppruna til að koma í veg fyrir gagnaleka yfir vefsvæði [S4]. - Sýnileiki endapunkta endurskoðunar: Skannaðu reglulega að „falnum“ eða óskráðum endapunktum sem gætu afhjúpað viðkvæma virkni [S1].
Hvernig FixVibe prófar það
FixVibe nær nú yfir þennan gátlista í gegnum margar lifandi athuganir. Kannar með virkum hliðum prófa auðkenningarendapunktshraðatakmörkun, CORS, CSRF, SQL innspýtingu, veikleika í heimildarflæði og önnur vandamál sem snúa að API aðeins eftir staðfestingu. Óvirkar athuganir skoða öryggishausa, opinber API skjöl og OpenAPI útsetningu, og leyndarmál í viðskiptavinabúntum. Endurtekningaskannanir bæta við áhættumati á kóðastigi fyrir óörugga CORS, hráa SQL innskot, veik JWT leyndarmál, aðeins afkóða JWT notkun, undirskriftareyður á vefhook og ósjálfstæðisvandamál.