FixVibe
Covered by FixVibemedium

API Аюулгүй байдлын хяналтын хуудас: Шууд дамжуулахын өмнө шалгах 12 зүйл

API-ууд нь орчин үеийн вэб програмуудын үндэс суурь болдог боловч ихэнхдээ уламжлалт урд талын аюулгүй байдлын хатуу шаардлага хангаагүй байдаг. Энэхүү судалгааны өгүүлэл нь API-ийн аюулгүй байдлыг хангах, хандалтын хяналт, хурдны хязгаарлалт, эх сурвалж хоорондын нөөц хуваалцах (CORS) зэрэгт анхаарлаа төвлөрүүлж, өгөгдөл зөрчих, үйлчилгээг урвуулан ашиглахаас урьдчилан сэргийлэхэд чухал ач холбогдолтой шалгах хуудсыг тоймлон харуулав.

CWE-285CWE-799CWE-942

Нөлөөлөл

Эвдэрсэн API нь халдагчид хэрэглэгчийн интерфэйсийг тойрч гарах, арын мэдээллийн сан болон [S1] үйлчилгээнүүдтэй шууд харилцах боломжийг олгодог. Энэ нь зөвшөөрөлгүй өгөгдөл гадагшлуулах, дансыг харгис хүчээр булаан авах, эсвэл нөөц дууссаны улмаас үйлчилгээ боломжгүй болох [S3][S5].

Үндсэн шалтгаан

Үндсэн шалтгаан нь хангалттай баталгаажуулалт, хамгаалалтгүй [S1] төгсгөлийн цэгүүдээр дамжуулан дотоод логикийг ил гаргах явдал юм. Хөгжүүлэгчид хэрэв тухайн функц нь UI дээр харагдахгүй байвал түүнийг аюулгүй гэж үздэг бөгөөд энэ нь [S2] хандалтын хяналт эвдэрсэн ба [S4] хэт олон эх сурвалжид итгэдэг зөвшөөрөгдсөн CORS бодлогод хүргэдэг.

Essential API Аюулгүй байдлын хяналтын хуудас

  • Хандалтын хатуу хяналтыг хэрэгжүүлэх: Төгсгөлийн цэг бүр хүсэлт гаргагч нь [S2] хандалт хийж буй тодорхой нөөцийн зохих зөвшөөрөлтэй эсэхийг шалгах ёстой.
  • Хувийн хязгаарлалтыг хэрэгжүүлэх: ЗХCVFIXVIBETOKEN0ZXCV тодорхой хугацаанд үйлчлүүлэгчийн гаргаж болох хүсэлтийн тоог хязгаарлах замаар автоматаар хүчирхийлэл болон DoS халдлагаас хамгаална.
  • CORS-г зөв тохируулах: Баталгаажсан төгсгөлийн цэгүүдэд орлуулагдах тэмдэг (*) ашиглахаас зайлсхий. Сайт хоорондын мэдээлэл алдагдахаас сэргийлэхийн тулд зөвшөөрөгдсөн гарал үүслийг тодорхой зааж өгөх [S4].
  • Аудитын төгсгөлийн цэгийн харагдах байдал: [S1] эмзэг функцийг илрүүлж болзошгүй "далд" эсвэл баримтжуулаагүй төгсгөлийн цэгүүдийг тогтмол сканнердах.

FixVibe үүнийг хэрхэн туршиж үздэг

FixVibe одоо энэ хяналтын хуудсыг олон тооны шууд шалгалтаар хамрах болно. Идэвхтэй хаалгатай датчик нь баталгаажуулалтын дараа баталгаажуулалтын төгсгөлийн цэгийн хурдыг хязгаарлах, CORS, CSRF, SQL injection, auth-flow сул тал болон бусад API-тэй тулгардаг асуудлуудыг шалгадаг. Идэвхгүй шалгалтууд нь аюулгүй байдлын гарчиг, олон нийтийн API баримт бичиг, OpenAPI-д өртөх байдал, үйлчлүүлэгчийн багц дахь нууцыг шалгадаг. Репо сканнерууд нь аюултай CORS, түүхий SQL интерполяци, сул JWT нууц, зөвхөн код тайлах боломжтой JWT ашиглалт, вэб дэгээ задлах гарын үсгийн алдаа болон кодын түвшний эрсдлийн үнэлгээг нэмдэг.