FixVibe
Covered by FixVibemedium

API സെക്യൂരിറ്റി ചെക്ക്‌ലിസ്റ്റ്: തത്സമയമാകുന്നതിന് മുമ്പ് പരിശോധിക്കേണ്ട 12 കാര്യങ്ങൾ

API-കൾ ആധുനിക വെബ് ആപ്ലിക്കേഷനുകളുടെ നട്ടെല്ലാണ്, പക്ഷേ പലപ്പോഴും പരമ്പരാഗത ഫ്രണ്ടൻഡുകളുടെ സുരക്ഷാ കാഠിന്യം ഇല്ല. ഡാറ്റാ ലംഘനങ്ങളും സേവന ദുരുപയോഗവും തടയുന്നതിന് ആക്‌സസ് കൺട്രോൾ, റേറ്റ് ലിമിറ്റിംഗ്, ക്രോസ്-ഓറിജിൻ റിസോഴ്‌സ് ഷെയറിങ് (CORS) എന്നിവയിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്ന API-കൾ സുരക്ഷിതമാക്കുന്നതിനുള്ള ഒരു അവശ്യ ചെക്ക്‌ലിസ്റ്റ് ഈ ഗവേഷണ ലേഖനം നൽകുന്നു.

CWE-285CWE-799CWE-942

ആഘാതം

ആക്രമണകാരികളെ ഉപയോക്തൃ ഇൻ്റർഫേസ് മറികടക്കാനും ബാക്കെൻഡ് ഡാറ്റാബേസുകളുമായും സേവനങ്ങളുമായും [S1] നേരിട്ട് സംവദിക്കാനും കോംപ്രമൈസ്ഡ് API-കൾ അനുവദിക്കുന്നു. ഇത് അനധികൃത ഡാറ്റ എക്‌സ്‌ഫിൽട്രേഷനോ ബ്രൂട്ട് ഫോഴ്‌സ് വഴിയുള്ള അക്കൗണ്ട് ഏറ്റെടുക്കലുകളിലേക്കോ അല്ലെങ്കിൽ റിസോഴ്‌സ് ക്ഷീണം കാരണം സേവന ലഭ്യതയില്ലായ്മയിലേക്കോ നയിച്ചേക്കാം [S3][S5].

മൂലകാരണം

[S1] മതിയായ മൂല്യനിർണ്ണയവും പരിരക്ഷയും ഇല്ലാത്ത എൻഡ്‌പോയിൻ്റുകളിലൂടെ ആന്തരിക ലോജിക് തുറന്നുകാട്ടുന്നതാണ് പ്രാഥമിക മൂലകാരണം. UI-ൽ ഒരു ഫീച്ചർ ദൃശ്യമാകുന്നില്ലെങ്കിൽ, അത് സുരക്ഷിതമാണെന്ന് ഡവലപ്പർമാർ പലപ്പോഴും അനുമാനിക്കാറുണ്ട്, ഇത് ആക്‌സസ്സ് നിയന്ത്രണങ്ങൾ ലംഘിക്കുന്നതിലേക്കും CORS പോളിസികളിലേക്കും നയിക്കുന്നു.

അത്യാവശ്യമായ API സുരക്ഷാ ചെക്ക്‌ലിസ്റ്റ്

  • കർശനമായ ആക്‌സസ്സ് നിയന്ത്രണം നടപ്പിലാക്കുക: [S2] ആക്‌സസ്സുചെയ്യുന്ന നിർദ്ദിഷ്‌ട ഉറവിടത്തിന് അഭ്യർത്ഥനയ്‌ക്ക് ഉചിതമായ അനുമതികൾ ഉണ്ടെന്ന് ഓരോ എൻഡ്‌പോയിൻ്റും പരിശോധിച്ചിരിക്കണം.
  • നിരക്ക് പരിമിതി നടപ്പിലാക്കുക: ഒരു ക്ലയൻ്റിന് ഒരു നിശ്ചിത സമയപരിധിക്കുള്ളിൽ [S3] ചെയ്യാൻ കഴിയുന്ന അഭ്യർത്ഥനകളുടെ എണ്ണം പരിമിതപ്പെടുത്തി സ്വയമേവയുള്ള ദുരുപയോഗത്തിൽ നിന്നും DoS ആക്രമണങ്ങളിൽ നിന്നും പരിരക്ഷിക്കുക.
  • CORS ശരിയായി കോൺഫിഗർ ചെയ്യുക: പ്രാമാണീകരിച്ച എൻഡ്‌പോയിൻ്റുകൾക്കായി വൈൽഡ്കാർഡ് ഒറിജിനുകൾ (*) ഉപയോഗിക്കുന്നത് ഒഴിവാക്കുക. ക്രോസ്-സൈറ്റ് ഡാറ്റ ചോർച്ച [S4] തടയുന്നതിന് അനുവദനീയമായ ഉറവിടങ്ങൾ വ്യക്തമായി നിർവചിക്കുക.
  • ഓഡിറ്റ് എൻഡ്‌പോയിൻ്റ് ദൃശ്യപരത: സെൻസിറ്റീവ് പ്രവർത്തനക്ഷമത [S1] വെളിപ്പെടുത്തിയേക്കാവുന്ന "മറഞ്ഞിരിക്കുന്ന" അല്ലെങ്കിൽ രേഖപ്പെടുത്താത്ത എൻഡ്‌പോയിൻ്റുകൾക്കായി പതിവായി സ്കാൻ ചെയ്യുക.

എങ്ങനെയാണ് FixVibe അതിനായി പരീക്ഷിക്കുന്നത്

ഒന്നിലധികം തത്സമയ പരിശോധനകളിലൂടെ FixVibe ഇപ്പോൾ ഈ ചെക്ക്‌ലിസ്റ്റ് ഉൾക്കൊള്ളുന്നു. ആക്റ്റീവ്-ഗേറ്റഡ് പ്രോബുകൾ പരിശോധിച്ചുറപ്പിച്ചതിന് ശേഷം മാത്രം ഓത്ത് എൻഡ്‌പോയിൻ്റ് റേറ്റ് ലിമിറ്റിംഗ്, CORS, CSRF, SQL ഇൻജക്ഷൻ, ഓത്ത്-ഫ്ലോ ബലഹീനതകൾ, മറ്റ് API- അഭിമുഖീകരിക്കുന്ന പ്രശ്നങ്ങൾ എന്നിവ പരിശോധിക്കുന്നു. നിഷ്ക്രിയ പരിശോധനകൾ സുരക്ഷാ തലക്കെട്ടുകൾ, പൊതു API ഡോക്യുമെൻ്റേഷൻ, OpenAPI എക്സ്പോഷർ, ക്ലയൻ്റ് ബണ്ടിലുകളിലെ രഹസ്യങ്ങൾ എന്നിവ പരിശോധിക്കുന്നു. സുരക്ഷിതമല്ലാത്ത CORS, അസംസ്‌കൃത SQL ഇൻ്റർപോളേഷൻ, ദുർബലമായ JWT രഹസ്യങ്ങൾ, ഡീകോഡ്-മാത്രം JWT ഉപയോഗം, വെബ്‌ഹുക്ക് സിഗ്‌നേച്ചർ പ്രശ്‌നങ്ങൾ, എന്നിവയ്‌ക്കായുള്ള കോഡ്-ലെവൽ റിസ്‌ക് അവലോകനം റിപ്പോ സ്‌കാനുകൾ ചേർക്കുന്നു.