FixVibe
Covered by FixVibemedium

API Senarai Semak Keselamatan: 12 Perkara yang Perlu Disemak Sebelum Disiarkan Secara Langsung

API ialah tulang belakang aplikasi web moden tetapi selalunya tidak mempunyai ketelitian keselamatan pada bahagian hadapan tradisional. Artikel penyelidikan ini menggariskan senarai semak penting untuk mendapatkan API, memfokuskan pada kawalan akses, pengehadan kadar dan perkongsian sumber silang asal (CORS) untuk mengelakkan pelanggaran data dan penyalahgunaan perkhidmatan.

CWE-285CWE-799CWE-942

Kesan

API terjejas membenarkan penyerang memintas antara muka pengguna dan berinteraksi secara langsung dengan pangkalan data dan perkhidmatan bahagian belakang [S1]. Ini boleh menyebabkan penyusutan data tanpa kebenaran, pengambilalihan akaun melalui kekerasan atau ketiadaan perkhidmatan disebabkan oleh kehabisan sumber [S3][S5].

Punca Punca

Punca utama ialah pendedahan logik dalaman melalui titik akhir yang kekurangan pengesahan dan perlindungan yang mencukupi [S1]. Pembangun sering menganggap bahawa jika ciri tidak kelihatan dalam UI, ia adalah selamat, membawa kepada kawalan akses rosak [S2] dan dasar CORS permisif yang mempercayai terlalu banyak asal [S4].

Senarai Semak Keselamatan API Penting

  • Kuatkuasakan Kawalan Akses Yang Tegas: Setiap titik akhir mesti mengesahkan bahawa peminta mempunyai kebenaran yang sesuai untuk sumber tertentu yang sedang diakses [S2].
  • Laksanakan Pengehadan Kadar: Lindungi daripada penyalahgunaan automatik dan serangan DoS dengan mengehadkan bilangan permintaan yang boleh dibuat oleh pelanggan dalam jangka masa tertentu [S3].
  • Konfigurasikan CORS Dengan Betul: Elakkan menggunakan asalan kad bebas (*) untuk titik akhir yang disahkan. Tentukan secara eksplisit asal yang dibenarkan untuk mengelakkan kebocoran data merentas tapak [S4].
  • Keterlihatan Titik Akhir Audit: Imbas secara kerap untuk titik akhir "tersembunyi" atau tidak berdokumen yang mungkin mendedahkan fungsi sensitif [S1].

Bagaimana FixVibe mengujinya

FixVibe kini meliputi senarai semak ini melalui berbilang semakan langsung. Probe berpagar aktif menguji pengehadan kadar titik akhir pengesahan, CORS, CSRF, suntikan SQL, kelemahan aliran pengesahan dan isu yang dihadapi API yang lain hanya selepas pengesahan. Semakan pasif memeriksa pengepala keselamatan, dokumentasi API awam dan pendedahan OpenAPI serta rahsia dalam berkas klien. Imbasan Repo menambah semakan risiko peringkat kod untuk CORS yang tidak selamat, interpolasi SQL mentah, rahsia JWT yang lemah, penggunaan JWT yang tidak selamat, jurang tandatangan webhook dan isu kebergantungan.