Virkning
Kompromitterte APIer lar angripere omgå brukergrensesnitt og samhandle direkte med backend-databaser og tjenester [S1]. Dette kan føre til uautorisert dataeksfiltrering, kontoovertakelser via brute-force eller utilgjengelighet av tjenesten på grunn av ressursbruk [S3][S5].
Grunnårsak
Den primære årsaken er eksponeringen av intern logikk gjennom endepunkter som mangler tilstrekkelig validering og beskyttelse [S1]. Utviklere antar ofte at hvis en funksjon ikke er synlig i brukergrensesnittet, er den sikker, noe som fører til ødelagte tilgangskontroller [S2] og tillatte CORS-policyer som stoler på for mange opphav [S4].
Viktig API sikkerhetssjekkliste
- Håndhev streng tilgangskontroll: Hvert endepunkt må bekrefte at forespørselen har de riktige tillatelsene for den spesifikke ressursen som får tilgang til [S2].
- Implementeringshastighetsbegrensning: Beskytt mot automatisert misbruk og DoS-angrep ved å begrense antallet forespørsler en klient kan gjøre innenfor en bestemt tidsramme [S3].
- Konfigurer CORS riktig: Unngå å bruke jokertegn (
*) for autentiserte endepunkter. Definer eksplisitt tillatte opprinnelser for å forhindre datalekkasje på tvers av nettsteder [S4]. - Revisjon endepunktssynlighet: Skann regelmessig etter "skjulte" eller udokumenterte endepunkter som kan avsløre sensitiv funksjonalitet [S1].
Hvordan FixVibe tester for det
FixVibe dekker nå denne sjekklisten gjennom flere live-sjekker. Active-gatede prober tester auth-endepunkthastighetsbegrensning, CORS, CSRF, SQL-injeksjon, auth-flow-svakheter og andre API-vendte problemer bare etter verifisering. Passive kontroller inspiserer sikkerhetshoder, offentlig API-dokumentasjon og OpenAPI-eksponering, og hemmeligheter i klientpakker. Repo-skanninger legger til risikogjennomgang på kodenivå for utrygg CORS, rå SQL-interpolering, svake JWT-hemmeligheter, kun dekode JWT-bruk, webhook-signaturgap og avhengighetsproblemer.