اثر
سمجھوتہ کرنے والے API حملہ آوروں کو یوزر انٹرفیس کو نظرانداز کرنے اور بیک اینڈ ڈیٹا بیس اور سروسز [S1] کے ساتھ براہ راست بات چیت کرنے کی اجازت دیتے ہیں۔ یہ غیر مجاز ڈیٹا کی افزائش، بروٹ فورس کے ذریعے اکاؤنٹ ٹیک اوور، یا وسائل کی کمی [S3][S5] کی وجہ سے سروس کی عدم دستیابی کا باعث بن سکتا ہے۔
بنیادی وجہ
بنیادی وجہ اندرونی منطق کا اختتامی نقطوں کے ذریعے سامنے آنا ہے جس میں کافی توثیق اور تحفظ [S1] نہیں ہے۔ ڈویلپرز اکثر یہ فرض کرتے ہیں کہ اگر UI میں کوئی خصوصیت نظر نہیں آتی ہے، تو یہ محفوظ ہے، جس کے نتیجے میں ٹوٹے ہوئے رسائی کنٹرولز [S2] اور اجازت دینے والی CORS پالیسیاں جو بہت زیادہ اصلیتوں پر بھروسہ کرتی ہیں [S4]۔
ضروری API سیکیورٹی چیک لسٹ
- سخت رسائی کے کنٹرول کو نافذ کریں: ہر اختتامی نقطہ کو اس بات کی تصدیق کرنی چاہیے کہ درخواست گزار کے پاس [S2] تک رسائی حاصل کیے جانے والے مخصوص وسائل کے لیے مناسب اجازتیں ہیں۔
- ریٹ کی حد کو لاگو کریں: ایک مخصوص ٹائم فریم [S3] کے اندر درخواستوں کی تعداد کو محدود کرکے خودکار بدسلوکی اور DoS حملوں سے بچائیں۔
- CORS کو درست طریقے سے کنفیگر کریں: تصدیق شدہ اختتامی پوائنٹس کے لیے وائلڈ کارڈ کی اصل (
*) استعمال کرنے سے گریز کریں۔ کراس سائٹ ڈیٹا لیکیج [S4] کو روکنے کے لیے واضح طور پر اجازت دی گئی اصلیت کی وضاحت کریں۔ - اینڈ پوائنٹ کی مرئیت کا آڈٹ کریں: "پوشیدہ" یا غیر دستاویزی اینڈ پوائنٹس کے لیے باقاعدگی سے اسکین کریں جو حساس فعالیت کو ظاہر کر سکتے ہیں [S1]۔
FixVibe اس کے لیے کیسے ٹیسٹ کرتا ہے۔
FixVibe اب متعدد لائیو چیکس کے ذریعے اس چیک لسٹ کا احاطہ کرتا ہے۔ ایکٹیو گیٹڈ پروبس ٹیسٹ auth اینڈ پوائنٹ ریٹ محدود کرنے، CORS، CSRF، SQL انجیکشن، auth-flow کی کمزوریوں، اور دیگر API کو درپیش مسائل کی تصدیق کے بعد ہی جانچتے ہیں۔ غیر فعال چیک سیکیورٹی ہیڈرز، عوامی API دستاویزات اور OpenAPI کی نمائش، اور کلائنٹ بنڈلز میں رازوں کا معائنہ کرتے ہیں۔ ریپو اسکینز غیر محفوظ CORS، خام SQL انٹرپولیشن، کمزور JWT راز، صرف ڈی کوڈ JWT استعمال، ویب ہک کے دستخطی فرق اور انحصار کے مسائل کے لیے کوڈ کی سطح کے خطرے کا جائزہ شامل کرتے ہیں۔