Үздік OATH API осалдықтары
Үздік OATH API осалдықтары: кіріспе
Эксплойттерге келетін болсақ, API интерфейстері бастау үшін ең жақсы орын болып табылады. API қол жеткізу әдетте үш бөліктен тұрады. Клиенттерге API интерфейстерімен бірге жұмыс істейтін авторизация сервері таңбалауыштарды шығарады. API клиенттен кіру таңбалауыштарын алады және оларға негізделген доменге тән авторизация ережелерін қолданады.
Заманауи бағдарламалық жасақтама қосымшалары әртүрлі қауіптерге осал. Ең соңғы эксплуатациялар мен қауіпсіздік кемшіліктері бойынша жылдамдықты сақтаңыз; осы осалдықтарға арналған эталондардың болуы шабуыл орын алмас бұрын қолданба қауіпсіздігін қамтамасыз ету үшін маңызды. Үшінші тарап қолданбалары OAuth протоколына көбірек сүйенеді. Бұл технологияның арқасында пайдаланушылар жалпы пайдаланушы тәжірибесін жақсартады, сонымен қатар жылдамырақ кіру мен авторизацияға ие болады. Бұл кәдімгі авторизацияға қарағанда қауіпсізрек болуы мүмкін, себебі пайдаланушылар берілген ресурсқа қол жеткізу үшін үшінші тарап қолданбасымен тіркелгі деректерін ашудың қажеті жоқ. Протоколдың өзі қауіпсіз және қауіпсіз болғанымен, оны жүзеге асыру тәсілі сізді шабуылға ашық қалдыруы мүмкін.
API интерфейстерін жобалау және орналастыру кезінде бұл мақала әдеттегі OAuth осалдықтарына, сондай-ақ әртүрлі қауіпсіздікті азайтуға бағытталған.
Бұзылған нысан деңгейінің авторизациясы
Авторизация бұзылса, үлкен шабуыл беті бар, өйткені API интерфейстері нысандарға қол жеткізуді қамтамасыз етеді. API қолжетімді элементтердің аутентификациясы қажет болғандықтан, бұл қажет. API шлюзін пайдаланып нысан деңгейіндегі авторизация тексерулерін жүзеге асырыңыз. Тек тиісті рұқсат тіркелгі деректері барларға ғана кіруге рұқсат етілуі керек.
Бұзылған пайдаланушы аутентификациясы
Рұқсат етілмеген таңбалауыштар - шабуылдаушылар үшін API интерфейстеріне қол жеткізудің тағы бір жиі жолы. Аутентификация жүйелері бұзылған болуы мүмкін немесе API кілті қате түрде ашылуы мүмкін. Аутентификация белгілері болуы мүмкін хакерлер пайдаланады қол жеткізу үшін. Адамдарды сенімді болған жағдайда ғана аутентификациялаңыз және күшті құпия сөздерді пайдаланыңыз. OAuth көмегімен сіз жай API кілттерінен асып, деректеріңізге қол жеткізе аласыз. Сіз әрқашан бір жерге қалай кіріп, қалай шығатыныңызды ойлауыңыз керек. OAuth MTLS жіберуші шектелген таңбалауыштары басқа машиналарға қатынасу кезінде клиенттердің дұрыс әрекет етпейтініне және дұрыс емес тарапқа таңбалауыштарды бермейтініне кепілдік беру үшін Mutual TLS-пен бірге пайдаланылуы мүмкін.
API жарнамасы:
Деректердің шамадан тыс экспозициясы
Жариялануы мүмкін соңғы нүктелер санына ешқандай шектеулер жоқ. Көбінесе барлық мүмкіндіктер барлық пайдаланушылар үшін қол жетімді емес. Қажет болғаннан көп деректерді көрсету арқылы сіз өзіңізге және басқаларға қауіп төндіресіз. Сезімтал ақпаратты ашудан аулақ болыңыз ақпарат бұл өте қажет болғанша. Әзірлеушілер OAuth Scopes және Claims көмегімен кімнің қол жеткізе алатынын анықтай алады. Шағымдар пайдаланушының деректердің қай бөлімдеріне қол жеткізе алатынын көрсетуі мүмкін. Барлық API интерфейстерінде стандартты құрылымды пайдалану арқылы қол жеткізуді басқару оңайырақ және басқаруды жеңілдетуі мүмкін.
Ресурстардың жетіспеушілігі және тарифтерді шектеу
Қара қалпақшалар жиі серверді басып алудың және оның жұмыс уақытын нөлге дейін азайтудың дөрекі күш әдісі ретінде қызмет көрсетуден бас тарту (DoS) шабуылдарын пайдаланады. Шақырылуы мүмкін ресурстарға ешқандай шектеулер болмаса, API әлсірететін шабуылға осал. 'API шлюзін немесе басқару құралын пайдалану арқылы API интерфейстері үшін тарифтік шектеулерді орнатуға болады. Сүзу мен беттеу, сонымен қатар жауаптар шектелген болуы керек.
Қауіпсіздік жүйесінің қате конфигурациясы
Қауіпсіздік конфигурациясының әртүрлі нұсқаулары қауіпсіздіктің қате конфигурациялану ықтималдығына байланысты жеткілікті толық. Бірнеше кішкентай нәрселер платформаңыздың қауіпсіздігіне қауіп төндіруі мүмкін. Мысал ретінде, жасырын мақсаттары бар қара қалпақшалар дұрыс емес сұрауларға жауап ретінде жіберілген құпия ақпаратты табуы мүмкін.
Жаппай тапсырма
Соңғы нүкте жалпыға бірдей анықталмағандықтан, оған әзірлеушілер қол жеткізе алмайды дегенді білдірмейді. Құпия API-ны хакерлер оңай ұстап алуы және кері өңдеуі мүмкін. «Жеке» API ішінде ашық Bearer Token пайдаланатын осы негізгі мысалды қараңыз. Екінші жағынан, қоғамдық құжаттама тек жеке пайдалануға арналған нәрсе үшін болуы мүмкін. Ашық ақпаратты қара қалпақшалар оқу үшін ғана емес, сонымен қатар объект сипаттамаларын басқару үшін де пайдалана алады. Қорғанысыңыздың ықтимал әлсіз тұстарын іздеген кезде өзіңізді хакер деп санаңыз. Қайтарылған нәрсеге тек тиісті құқықтары бар адамдарға рұқсат беріңіз. Осалдықты азайту үшін API жауап пакетін шектеңіз. Респонденттер мүлдем қажет емес сілтемелерді қоспауы керек.
Көтерілген API:
Активтерді дұрыс басқару
Әзірлеуші өнімділігін арттырудан басқа, ағымдағы нұсқалар мен құжаттама сіздің қауіпсіздігіңіз үшін өте маңызды. Жаңа нұсқаларды енгізуге және ескі API интерфейстерінің ескіруіне алдын ала дайындалыңыз. Ескі API интерфейстерін пайдалануда қалдырудың орнына жаңарақ API пайдаланыңыз. API спецификациясы құжаттама үшін ақиқаттың негізгі көзі ретінде пайдаланылуы мүмкін.
инъекция
API интерфейстері инъекцияға осал, бірақ үшінші тарап әзірлеушілер қолданбалары да солай. Зиянды код деректерді жою немесе құпия сөздер мен несие картасы нөмірлері сияқты құпия ақпаратты ұрлау үшін пайдаланылуы мүмкін. Бұдан алатын ең маңызды сабақ - әдепкі параметрлерге тәуелді болмау. Басшылық немесе шлюз жеткізушісі бірегей қолданба қажеттіліктерін қанағаттандыра алуы керек. Қате туралы хабарлар құпия ақпаратты қамтымауы керек. Жеке куәлік деректерінің жүйеден тыс ағып кетуіне жол бермеу үшін таңбалауыштарда Pairwise псевдонимдерін пайдалану керек. Бұл ешбір клиенттің пайдаланушыны анықтау үшін бірге жұмыс істей алмайтынын қамтамасыз етеді.
Тіркеу және бақылау жеткіліксіз
Шабуыл орын алған кезде командалар жақсы ойластырылған реакция стратегиясын қажет етеді. Сенімді тіркеу және бақылау жүйесі болмаса, әзірлеушілер осалдықтарды ұстамай пайдалануды жалғастырады, бұл шығындарды арттырады және қоғамның компания туралы түсінігіне нұқсан келтіреді. Қатаң API мониторингі мен өндірістің соңғы нүктесін сынау стратегиясын қабылдаңыз. Осалдықтарды ертерек тапқан ақ қалпақ тестерлері сыйақы схемасымен марапатталуы керек. Журнал ізі API транзакцияларына пайдаланушының жеке басын қосу арқылы жақсартылуы мүмкін. Access Token деректерін пайдалану арқылы API архитектурасының барлық қабаттары тексерілгеніне көз жеткізіңіз.
қорытынды
Платформа сәулетшілері осалдықтың белгіленген критерийлерін орындау арқылы өз жүйелерін шабуылдаушылардан бір қадам алда ұстау үшін жабдықтай алады. API интерфейстері жеке сәйкестендірілетін ақпаратқа (PII) қол жетімділікті қамтамасыз ете алатындықтан, мұндай қызметтердің қауіпсіздігін сақтау компанияның тұрақтылығы мен GDPR сияқты заңнамаға сәйкестігі үшін өте маңызды. OAuth таңбалауыштарын API шлюзін және Phantom Token Approach қолданбай API арқылы тікелей жібермеңіз.
Көтерілген API:
