FixVibe
Covered by FixVibemedium

API Xavfsizlik tekshiruvi roʻyxati: Jonli efirga chiqishdan oldin tekshirish kerak boʻlgan 12 ta narsa

API-lar zamonaviy veb-ilovalarning asosidir, lekin ko'pincha an'anaviy frontendlarning xavfsizlik qat'iyligi yo'q. Ushbu tadqiqot maqolasida ma'lumotlarning buzilishi va xizmatlardan suiiste'mol qilinishining oldini olish uchun kirishni boshqarish, tezlikni cheklash va manbalar bo'ylab almashishga (CORS) e'tibor qaratilib, API xavfsizligini ta'minlash uchun muhim nazorat ro'yxati keltirilgan.

CWE-285CWE-799CWE-942

Ta'sir

Buzilgan API’lar tajovuzkorlarga foydalanuvchi interfeyslarini chetlab o‘tish va [S1] backend ma’lumotlar bazalari va xizmatlari bilan bevosita o‘zaro aloqada bo‘lish imkonini beradi. Bu maʼlumotlarning ruxsatsiz oʻgʻirlanishiga, qoʻpol kuchlar yordamida hisobning oʻgʻirlanishiga yoki resurslarning tugashi [S3][S5] tufayli xizmat koʻrsatilmasligiga olib kelishi mumkin.

Asosiy sabab

Asosiy sabab - bu [S1] etarli tekshiruv va himoyaga ega bo'lmagan so'nggi nuqtalar orqali ichki mantiqning ta'siri. Ishlab chiquvchilar ko‘pincha agar biror xususiyat UIda ko‘rinmasa, u xavfsiz, bu [S2] kirish boshqaruvlari va [S4] juda ko‘p manbalarga ishonadigan ruxsat beruvchi CORS siyosatlari buzilishiga olib keladi, deb hisoblashadi.

Essential API Xavfsizlik tekshiruvi roʻyxati

  • Kirishning qat'iy nazoratini ta'minlash: Har bir so'nggi nuqta so'rovchi [S2] kiruvchi maxsus resurs uchun tegishli ruxsatlarga ega ekanligini tekshirishi kerak.
  • Tarifni cheklashni amalga oshirish: Mijozning ma'lum vaqt oralig'ida qilishi mumkin bo'lgan so'rovlar sonini cheklash orqali avtomatik suiiste'mol va DoS hujumlaridan himoya qiling [S3].
  • CORS ni to‘g‘ri sozlang: Autentifikatsiya qilingan so‘nggi nuqtalar uchun joker belgilardan (*) foydalanishdan saqlaning. [S4] saytlararo maʼlumotlar sizib chiqishining oldini olish uchun ruxsat etilgan manbalarni aniq belgilang.
  • Audit endpoint Visibility: [S1] nozik funksiyalarini fosh etishi mumkin bo‘lgan “yashirin” yoki hujjatsiz so‘nggi nuqtalarni muntazam ravishda skanerlang.

FixVibe buni qanday sinovdan o'tkazadi

FixVibe endi ushbu nazorat roʻyxatini bir nechta jonli tekshiruvlar orqali qamrab oladi. Faol eshikli zondlar autentifikatsiya so'nggi nuqtasi tezligini cheklash, CORS, CSRF, SQL in'ektsiyasi, autentifikatsiya oqimining zaif tomonlari va boshqa API bilan bog'liq muammolarni faqat tekshirilgandan keyin tekshiradi. Passiv tekshiruvlar xavfsizlik sarlavhalarini, ommaviy API hujjatlarini va OpenAPI taʼsirini va mijoz toʻplamlari sirlarini tekshiradi. Repo skanerlashlari xavfli CORS, xom SQL interpolyatsiyasi, zaif JWT sirlari, faqat dekodlash uchun JWT foydalanish, veb-huk imzosi bilan bog'liq bo'shliqlar va kod darajasidagi xavflarni ko'rib chiqadi.