FixVibe
Covered by FixVibemedium

API Қауіпсіздікті тексеру тізімі: Тікелей эфирге шығу алдында тексеру керек 12 нәрсе

API интерфейстері заманауи веб-қосымшалардың негізі болып табылады, бірақ көбінесе дәстүрлі фронтендтердің қауіпсіздік қатаңдығы жоқ. Бұл зерттеу мақаласында деректердің бұзылуы мен қызметті теріс пайдаланудың алдын алу үшін кіруді басқаруға, жылдамдықты шектеуге және бастапқы ресурстарды ортақ пайдалануға (CORS) назар аудара отырып, API қауіпсіздігін қамтамасыз ету үшін маңызды бақылау тізімі берілген.

CWE-285CWE-799CWE-942

Әсер

Бұзылған API интерфейстері шабуылдаушыларға пайдаланушы интерфейстерін айналып өтуге және серверлік дерекқорлармен және [S1] қызметтерімен тікелей әрекеттесуге мүмкіндік береді. Бұл деректердің рұқсат етілмеген эксфильтрациясына, есептік жазбаны өрескел күш арқылы басып алуға немесе ресурстардың таусылуына байланысты қызметтің қолжетімсіздігіне әкелуі мүмкін [S3][S5].

Негізгі себеп

Негізгі түбірлік себеп - [S1] жеткілікті валидациясы мен қорғанысы жоқ соңғы нүктелер арқылы ішкі логиканың әсер етуі. Әзірлеушілер жиі мүмкіндік UI-де көрінбесе, ол қауіпсіз деп есептейді, бұл [S2] кіруді басқару элементтерінің бұзылуына және тым көп [S4] түпнұсқаларына сенетін рұқсат етілген CORS саясаттарына әкеледі.

Essential API қауіпсіздікті тексеру тізімі

  • Қатаң рұқсатты басқаруды енгізу: Әрбір соңғы нүкте сұраушының [S2] қатынасатын арнайы ресурс үшін тиісті рұқсаттары бар екенін тексеруі керек.
  • Реттеуді шектеуді енгізу: [S3] белгілі бір уақыт аралығында клиент жасай алатын сұраулар санын шектеу арқылы автоматтандырылған теріс пайдаланудан және DoS шабуылдарынан қорғаңыз.
  • CORS дұрыс конфигурациялаңыз: аутентификацияланған соңғы нүктелер үшін қойылмалы таңбаны (*) пайдаланбаңыз. [S4] сайттар арасындағы деректердің ағып кетуіне жол бермеу үшін рұқсат етілген бастауларды анық анықтаңыз.
  • Соңғы нүктенің көріну мүмкіндігін тексеру: [S1] сезімтал функционалдығын ашуы мүмкін «жасырын» немесе құжатталмаған соңғы нүктелерді үнемі қарап шығыңыз.

FixVibe оны қалай тексереді

FixVibe енді бұл тексеру тізімін бірнеше тікелей тексерулер арқылы қамтиды. Белсенді қақпасы бар зондтар аутентификацияның соңғы нүктесі жылдамдығын шектеуді, CORS, CSRF, SQL инъекциясын, аутентификация ағынының әлсіз жақтарын және басқа API мәселелерін тексеруден кейін ғана тексереді. Пассивті тексерулер қауіпсіздік тақырыптарын, жалпы API құжаттамасын және OpenAPI экспозициясын және клиент бумасындағы құпияларды тексереді. Репо сканерлері қауіпті CORS, өңделмеген SQL интерполяциясы, әлсіз JWT құпиялары, тек декодтау үшін JWT пайдалануы, веб-хук қолтаңбасының ақаулары және ақаулары үшін код деңгейіндегі тәуекелді шолуды қосады.