אימפאקט
קאַמפּראַמייזד אַפּיס לאָזן אַטאַקערז צו בייפּאַס באַניצער ינטערפייסיז און ינטעראַקט גלייך מיט באַקענד דאַטאַבייסיז און באַדינונגס [S1]. דאָס קען פירן צו אַנאָטערייזד דאַטן עקספילטריישאַן, אַקאַונט טייקאָוווערז דורך ברוט-קראַפט, אָדער סערוויס אַנאַוויילאַביליטי רעכט צו מיטל יגזאָסטשאַן [S3][S5].
וואָרצל גרונט
די ערשטיק וואָרצל גרונט איז די ויסשטעלן פון ינערלעך לאָגיק דורך ענדפּאָינץ וואָס פעלן גענוג וואַלאַדיישאַן און שוץ [S1]. דעוועלאָפּערס אָפט יבערנעמען אַז אויב אַ שטריך איז נישט קענטיק אין די וי, עס איז זיכער, וואָס פירן צו צעבראכן אַקסעס קאָנטראָלס [S2] און פּערמיסיוו CORS פּאַלאַסיז וואָס צוטרוי צו פילע אָריגינס [S4].
יקערדיק API זיכערהייט טשעקליסט
- ענפאָרס שטרענג אַקסעס קאָנטראָל : יעדער ענדפּוינט מוזן באַשטעטיקן אַז דער ריקוועווער האט די צונעמען פּערמישאַנז פֿאַר די ספּעציפיש מיטל וואָס איז אַקסעסט [S2].
- ימפּלעמענט קורס לימיטינג : באַשיצן קעגן אָטאַמייטיד זידלען און דאָס אנפאלן דורך לימיטינג די נומער פון ריקוועס אַ קליענט קענען מאַכן אין אַ ספּעציפיש צייט ראַם [S3].
- קאַנפיגיער CORS ריכטיק : ויסמיידן ניצן ווילדקאַרד אָריגינס (
*) פֿאַר אָטענטאַקייטאַד ענדפּוינץ. בפירוש דעפינירן ערלויבט אָריגינס צו פאַרמייַדן קרייַז-פּלאַץ דאַטן ליקאַדזש [S4]. - קאָנטראָלירן ענדפּוינט וויזאַביליטי : קעסיידער יבערקוקן פֿאַר "פאַרבאָרגן" אָדער אַנדאַקיאַמעניד ענדפּוינץ וואָס קען ויסשטעלן שפּירעוודיק פאַנגקשאַנאַליטי [S1].
ווי FixVibe טעסץ פֿאַר עס
FixVibe איצט קאָווערס דעם טשעקליסט דורך קייפל לעבן טשעקס. אַקטיוו-גייטיד פּראָבעס פּרובירן אַוטפּוינט קורס לימאַטינג, CORS, CSRF, SQL ינדזשעקשאַן, אַוטה-לויפן וויקנאַסאַז און אנדערע API-פייסינג ישוז בלויז נאָך וועראַפאַקיישאַן. פּאַסיוו טשעקס דורכקוקן זיכערהייט כעדערז, עפנטלעך API דאַקיומענטיישאַן און OpenAPI ויסשטעלן, און סיקריץ אין קליענט באַנדאַלז. רעפּאָ סקאַנז לייגן קאָד-מדרגה ריזיקירן רעצענזיע פֿאַר אַנסייף CORS, רוי סקל ינטערפּאָלאַטיאָן, שוואַך JWT סיקריץ, דעקאָדע-בלויז JWT באַניץ, וועבהאָאָק כסימע גאַפּס און דעפּענדענסי ישוז.