ਪ੍ਰਭਾਵ
ਸਮਝੌਤਾ ਕੀਤਾ API ਹਮਲਾਵਰਾਂ ਨੂੰ ਉਪਭੋਗਤਾ ਇੰਟਰਫੇਸ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਅਤੇ ਬੈਕਐਂਡ ਡੇਟਾਬੇਸ ਅਤੇ ਸੇਵਾਵਾਂ [S1] ਨਾਲ ਸਿੱਧਾ ਇੰਟਰੈਕਟ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ। ਇਹ ਅਣਅਧਿਕਾਰਤ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ, ਬਰੂਟ-ਫੋਰਸ ਦੁਆਰਾ ਖਾਤੇ ਨੂੰ ਟੇਕਓਵਰ, ਜਾਂ ਸਰੋਤ ਥਕਾਵਟ [S3][S5] ਦੇ ਕਾਰਨ ਸੇਵਾ ਦੀ ਅਣਉਪਲਬਧਤਾ ਦਾ ਕਾਰਨ ਬਣ ਸਕਦਾ ਹੈ।
ਮੂਲ ਕਾਰਨ
ਪ੍ਰਾਇਮਰੀ ਮੂਲ ਕਾਰਨ ਅੰਤਮ ਬਿੰਦੂਆਂ ਦੁਆਰਾ ਅੰਦਰੂਨੀ ਤਰਕ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਹੈ ਜਿਸ ਵਿੱਚ ਲੋੜੀਂਦੀ ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਸੁਰੱਖਿਆ [S1] ਦੀ ਘਾਟ ਹੈ। ਡਿਵੈਲਪਰ ਅਕਸਰ ਇਹ ਮੰਨਦੇ ਹਨ ਕਿ ਜੇਕਰ ਕੋਈ ਵਿਸ਼ੇਸ਼ਤਾ UI ਵਿੱਚ ਦਿਖਾਈ ਨਹੀਂ ਦਿੰਦੀ ਹੈ, ਤਾਂ ਇਹ ਸੁਰੱਖਿਅਤ ਹੈ, ਜਿਸ ਨਾਲ ਟੁੱਟੇ ਹੋਏ ਐਕਸੈਸ ਨਿਯੰਤਰਣ [S2] ਅਤੇ ਆਗਿਆਕਾਰੀ CORS ਨੀਤੀਆਂ ਜੋ ਬਹੁਤ ਸਾਰੇ ਮੂਲ [S4] 'ਤੇ ਭਰੋਸਾ ਕਰਦੀਆਂ ਹਨ।
ਜ਼ਰੂਰੀ API ਸੁਰੱਖਿਆ ਚੈੱਕਲਿਸਟ
- ਸਖਤ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਨੂੰ ਲਾਗੂ ਕਰੋ: ਹਰੇਕ ਅੰਤਮ ਬਿੰਦੂ ਨੂੰ ਇਹ ਪੁਸ਼ਟੀ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ ਕਿ ਬੇਨਤੀਕਰਤਾ ਕੋਲ [S2] ਤੱਕ ਪਹੁੰਚ ਕੀਤੇ ਜਾ ਰਹੇ ਖਾਸ ਸਰੋਤ ਲਈ ਉਚਿਤ ਅਨੁਮਤੀਆਂ ਹਨ।
- ਦਰ ਦੀ ਸੀਮਾ ਨੂੰ ਲਾਗੂ ਕਰੋ: ਇੱਕ ਖਾਸ ਸਮਾਂ ਸੀਮਾ [S3] ਦੇ ਅੰਦਰ ਬੇਨਤੀਆਂ ਦੀ ਗਿਣਤੀ ਨੂੰ ਸੀਮਿਤ ਕਰਕੇ ਸਵੈਚਲਿਤ ਦੁਰਵਿਵਹਾਰ ਅਤੇ DoS ਹਮਲਿਆਂ ਤੋਂ ਸੁਰੱਖਿਆ ਕਰੋ।
- CORS ਨੂੰ ਸਹੀ ਢੰਗ ਨਾਲ ਕੌਂਫਿਗਰ ਕਰੋ: ਪ੍ਰਮਾਣਿਤ ਅੰਤ ਬਿੰਦੂਆਂ ਲਈ ਵਾਈਲਡਕਾਰਡ ਮੂਲ (
*) ਦੀ ਵਰਤੋਂ ਕਰਨ ਤੋਂ ਬਚੋ। ਕਰਾਸ-ਸਾਈਟ ਡਾਟਾ ਲੀਕ ਹੋਣ ਤੋਂ ਰੋਕਣ ਲਈ ਮਨਜ਼ੂਰਸ਼ੁਦਾ ਮੂਲ ਨੂੰ ਸਪਸ਼ਟ ਤੌਰ 'ਤੇ ਪਰਿਭਾਸ਼ਿਤ ਕਰੋ [S4]। - ਐਂਡਪੁਆਇੰਟ ਵਿਜ਼ੀਬਿਲਟੀ ਦਾ ਆਡਿਟ ਕਰੋ: "ਲੁਕੇ ਹੋਏ" ਜਾਂ ਗੈਰ-ਦਸਤਾਵੇਜ਼ੀ ਅੰਤਮ ਬਿੰਦੂਆਂ ਲਈ ਨਿਯਮਿਤ ਤੌਰ 'ਤੇ ਸਕੈਨ ਕਰੋ ਜੋ ਸੰਵੇਦਨਸ਼ੀਲ ਕਾਰਜਸ਼ੀਲਤਾ [S1] ਦਾ ਪਰਦਾਫਾਸ਼ ਕਰ ਸਕਦੇ ਹਨ।
FixVibe ਇਸਦੇ ਲਈ ਕਿਵੇਂ ਟੈਸਟ ਕਰਦਾ ਹੈ
FixVibe ਹੁਣ ਇਸ ਚੈੱਕਲਿਸਟ ਨੂੰ ਮਲਟੀਪਲ ਲਾਈਵ ਜਾਂਚਾਂ ਰਾਹੀਂ ਕਵਰ ਕਰਦਾ ਹੈ। ਸਰਗਰਮ-ਗੇਟਿਡ ਪੜਤਾਲਾਂ ਪ੍ਰਮਾਣੀਕਰਨ ਅੰਤਮ ਬਿੰਦੂ ਦਰ ਸੀਮਤ ਕਰਨ, CORS, CSRF, SQL ਇੰਜੈਕਸ਼ਨ, ਪ੍ਰਮਾਣ-ਪ੍ਰਵਾਹ ਕਮਜ਼ੋਰੀਆਂ, ਅਤੇ ਹੋਰ API-ਦਾ ਸਾਹਮਣਾ ਕਰਨ ਵਾਲੇ ਮੁੱਦਿਆਂ ਦੀ ਜਾਂਚ ਤੋਂ ਬਾਅਦ ਹੀ ਜਾਂਚ ਕਰਦੇ ਹਨ। ਪੈਸਿਵ ਜਾਂਚਾਂ ਸੁਰੱਖਿਆ ਸਿਰਲੇਖਾਂ, ਜਨਤਕ API ਦਸਤਾਵੇਜ਼ਾਂ ਅਤੇ OpenAPI ਐਕਸਪੋਜ਼ਰ, ਅਤੇ ਕਲਾਇੰਟ ਬੰਡਲਾਂ ਵਿੱਚ ਭੇਦ ਦੀ ਜਾਂਚ ਕਰਦੀਆਂ ਹਨ। ਰੇਪੋ ਸਕੈਨ ਅਸੁਰੱਖਿਅਤ CORS, ਕੱਚਾ SQL ਇੰਟਰਪੋਲੇਸ਼ਨ, ਕਮਜ਼ੋਰ JWT ਰਹੱਸ, ਡੀਕੋਡ-ਸਿਰਫ JWT ਵਰਤੋਂ, ਵੈਬਹੁੱਕ ਦਸਤਖਤ ਅੰਤਰ, ਅਤੇ ਨਿਰਭਰਤਾ ਮੁੱਦਿਆਂ ਲਈ ਕੋਡ-ਪੱਧਰ ਦੇ ਜੋਖਮ ਸਮੀਖਿਆ ਨੂੰ ਜੋੜਦਾ ਹੈ।