प्रभाव
तडजोड केलेले API आक्रमणकर्त्यांना वापरकर्ता इंटरफेस बायपास करण्यास आणि बॅकएंड डेटाबेस आणि सेवा [S1] सह थेट संवाद साधण्याची परवानगी देतात. यामुळे अनधिकृत डेटा एक्सफिल्टेशन, ब्रूट-फोर्सद्वारे खाते ताब्यात घेणे किंवा संसाधन संपुष्टात आल्याने सेवा अनुपलब्धता होऊ शकते [S3][S5].
मूळ कारण
पुरेशी प्रमाणीकरण आणि संरक्षण [S1] नसलेल्या एंडपॉइंट्सद्वारे अंतर्गत तर्कशास्त्र उघड करणे हे प्राथमिक मूळ कारण आहे. डेव्हलपर सहसा असे गृहीत धरतात की जर एखादे वैशिष्ट्य UI मध्ये दृश्यमान नसेल तर ते सुरक्षित आहे, ज्यामुळे तुटलेली प्रवेश नियंत्रणे [S2] आणि परवानगी देणारी CORS धोरणे आहेत जी खूप जास्त मूळ [S4] वर विश्वास ठेवतात
आवश्यक API सुरक्षा चेकलिस्ट
- कठोर प्रवेश नियंत्रणाची अंमलबजावणी करा: प्रत्येक एंडपॉईंटने हे सत्यापित करणे आवश्यक आहे की विनंतीकर्त्याकडे [S2] ऍक्सेस केलेल्या विशिष्ट संसाधनासाठी योग्य परवानग्या आहेत.
- दर मर्यादा लागू करा: विशिष्ट कालावधी [S3] मध्ये क्लायंट करू शकत असलेल्या विनंत्यांची संख्या मर्यादित करून स्वयंचलित गैरवर्तन आणि DoS हल्ल्यांपासून संरक्षण करा.
- CORS बरोबर कॉन्फिगर करा: ऑथेंटिकेटेड एंडपॉइंट्ससाठी वाइल्डकार्ड ओरिजिन (
*) वापरणे टाळा. क्रॉस-साइट डेटा लीकेज [S4] टाळण्यासाठी अनुमत मूळ स्पष्टपणे परिभाषित करा. - ऑडिट एंडपॉईंट दृश्यमानता: "लपलेले" किंवा दस्तऐवजीकरण नसलेले एंडपॉइंट नियमितपणे स्कॅन करा जे संवेदनशील कार्यक्षमता उघड करू शकतात [S1].
त्यासाठी FixVibe चाचण्या कशा करतात
FixVibe आता एकाधिक थेट तपासण्यांद्वारे ही चेकलिस्ट समाविष्ट करते. ऍक्टिव्ह-गेट केलेले प्रोब्स चाचणी प्रमाणीकरण एंडपॉईंट रेट लिमिटिंग, CORS, CSRF, SQL इंजेक्शन, ऑथ-फ्लो कमजोरी आणि इतर API-समस्या पडताळणीनंतरच. निष्क्रीय तपासणी सुरक्षा शीर्षलेख, सार्वजनिक API दस्तऐवजीकरण आणि OpenAPI एक्सपोजर आणि क्लायंट बंडलमधील रहस्ये तपासतात. रेपो स्कॅन असुरक्षित CORS, रॉ SQL इंटरपोलेशन, कमकुवत JWT रहस्ये, केवळ-डिकोड-केवळ JWT वापर, वेबहुक स्वाक्षरी अंतर आणि अवलंबित्व समस्यांसाठी कोड-स्तरीय जोखीम पुनरावलोकन जोडतात.