Täsir
Ylalaşylan API-ler hüjümçilere ulanyjy interfeýslerinden aýlanmaga we arkadaky maglumatlar bazalary we hyzmatlary [S1] bilen göni aragatnaşyk saklamaga mümkinçilik berýär. Bu, rugsatsyz maglumatlaryň süzülmegine, zalym güýç bilen hasabyň alynmagyna ýa-da serişde tükenmegi sebäpli [S3][S5] sebäp bolup biler.
Kök sebäp
Esasy kök sebäbi, ýeterlik tassyklama we gorag ýok [S1] ahyrky nokatlar arkaly içerki logikanyň täsir etmegi. Döredijiler köplenç bir aýratynlyk UI-de görünmeýän bolsa, ygtybarlydygyny, [S2] we ygtyýarly CORS syýasatynyň [S4] ygtybarlydygyny çaklaýarlar.
Esasy API Howpsuzlyk barlag sanawy
- Gaty elýeterliligi gözegçilikde saklaň : Her bir ahyrky nokat, talap edijiniň [S2] belli bir çeşmä girmek üçin degişli rugsatlarynyň bardygyny tassyklamaly.
- Nyrh çäklendirmesini ýerine ýetiriň : Müşderiniň belli bir möhletde [S3] talap edip biljek islegleriniň sanyny çäklendirip, awtomatiki hyýanatçylyklardan we DoS hüjümlerinden goraň.
- CORS sazlaň : Hakyky tassyklanan nokatlar üçin kartoçkanyň gelip çykyşyny (
*) ulanmakdan gaça duruň. [S4] sahypadaky maglumatlaryň syzmagynyň öňüni almak üçin rugsat berlen çeşmeleri anyk kesgitläň. - Audit ahyrky nokadyň görünişi : [S1] duýgur funksiýany paş edip biljek "gizlin" ýa-da resminamasyz ahyrky nokatlary yzygiderli gözden geçiriň.
FixVibe munuň üçin nädip synag edýär
FixVibe indi bu gözegçilik sanawyny birnäçe janly barlag arkaly öz içine alýar. Işjeň derwezeli barlaglar, ahyrky nokadyň tizligini çäklendirmek, CORS, CSRF, SQL sanjym, aw akymynyň gowşaklygy we beýleki API bilen baglanyşykly meseleler barlanylandan soň barlanýar. Passiw barlaglar howpsuzlyk sözbaşylaryny, köpçülikleýin API resminamalaryny we OpenAPI täsirini we müşderi bukjalaryndaky syrlary barlaýar. Repo skanerler, ygtybarly CORS, çig SQL interpolýasiýasy, gowşak JWT syrlary, diňe kodlanan JWT ulanylyşy, webhook gol boşluklary we garaşlylyk meselesi üçin kod derejesindäki töwekgelçilik synyny goşýar.