Pinakataas nga OATH API nga mga Kaluyahon
Panguna nga OATH API nga mga Kaluyahon: Intro
Kung bahin sa mga pagpahimulos, ang mga API mao ang labing kaayo nga lugar nga magsugod. API access kasagaran naglangkob sa tulo ka mga bahin. Ang mga kliyente gihatagan og mga token sa usa ka Authorization Server, nga nagdagan kauban sa mga API. Ang API nakadawat og mga token sa pag-access gikan sa kliyente ug nag-aplay sa mga lagda sa pagtugot nga piho sa domain base niini.
Ang mga modernong aplikasyon sa software dali nga maapektuhan sa lainlaing mga peligro. Padayon sa pagpadali sa labing bag-o nga mga pagpahimulos ug mga sayup sa seguridad; Ang pagbaton ug mga benchmark alang niining mga kahuyangan hinungdanon aron masiguro ang seguridad sa aplikasyon sa dili pa mahitabo ang pag-atake. Ang mga aplikasyon sa ikatulo nga partido labi nga nagsalig sa OAuth protocol. Ang mga tiggamit adunay mas maayo nga kinatibuk-ang kasinatian sa tiggamit, ingon man ang mas paspas nga pag-login ug pagtugot, salamat sa kini nga teknolohiya. Mahimong mas luwas kini kaysa naandan nga pagtugot tungod kay dili kinahanglan nga ibutyag sa mga tiggamit ang ilang mga kredensyal sa aplikasyon sa ikatulo nga partido aron ma-access ang gihatag nga kapanguhaan. Samtang ang protocol mismo luwas ug luwas, ang paagi sa pag-implementar mahimo nga magbukas kanimo sa pag-atake.
Kung nagdesinyo ug nag-host sa mga API, kini nga artikulo nagpunting sa kasagaran nga mga kahuyangan sa OAuth, ingon man usab sa lainlaing mga pagpugong sa seguridad.
Nabuak nga Antas sa Butang nga Awtorisasyon
Adunay usa ka halapad nga pag-atake sa nawong kung ang pagtugot gilapas tungod kay ang mga API naghatag og access sa mga butang. Tungod kay ang mga butang nga ma-access sa API kinahanglan nga mapamatud-an, kini kinahanglan. Ipatuman ang mga pagsusi sa pagtugot sa lebel sa butang gamit ang gateway sa API. Kadto lamang nga adunay angay nga mga kredensyal sa pagtugot ang kinahanglan tugutan nga maka-access.
Naguba nga Pagpamatuod sa Gumagamit
Ang dili awtorisado nga mga token usa pa ka kanunay nga paagi alang sa mga tig-atake aron makakuha og access sa mga API. Ang mga sistema sa pag-authenticate mahimong ma-hack, o ang usa ka yawe sa API mahimong masayop nga ma-expose. Ang mga token sa authentication mahimong gigamit sa mga hacker aron makakuha og access. Ipamatuod lang ang mga tawo kung kasaligan sila, ug gamita ang lig-on nga mga password. Uban sa OAuth, mahimo kang molapas sa mga yawe sa API lamang ug makakuha og access sa imong data. Kinahanglan nga kanunay nimong hunahunaon kung giunsa nimo pagsulod ug paggawas sa usa ka lugar. Ang OAuth MTLS Sender Constrained Token mahimong gamiton kauban sa Mutual TLS aron garantiya nga ang mga kliyente dili magbuhat og sayop ug mopasa sa mga token ngadto sa sayop nga partido samtang nag-access sa ubang mga makina.
Promosyon sa API:
Sobra nga Data Exposure
Walay mga limitasyon sa gidaghanon sa mga endpoint nga mahimong imantala. Kasagaran, dili tanan nga mga bahin magamit sa tanan nga tiggamit. Pinaagi sa pagbutyag sa daghang datos kay sa gikinahanglan, imong gibutang sa peligro ang imong kaugalingon ug ang uban. Likayi ang pagbutyag nga sensitibo impormasyon hangtud nga kini gikinahanglan gayud. Mahimong ipiho sa mga developers kung kinsa ang adunay access sa unsa pinaagi sa paggamit sa OAuth Scopes ug Claims. Ang mga pag-angkon mahimong magtino kung unsang mga seksyon sa datos ang adunay access sa usa ka user. Ang kontrol sa pag-access mahimong himoong mas simple ug mas sayon sa pagdumala pinaagi sa paggamit sa usa ka sumbanan nga istruktura sa tanang mga API.
Kakulang sa mga Kapanguhaan ug Paglimite sa Rate
Ang mga itom nga kalo kanunay nga naggamit sa mga pag-atake sa denial-of-service (DoS) isip usa ka brute-force nga paagi sa pagpabug-at sa usa ka server ug sa ingon pagkunhod sa oras sa pagtrabaho niini ngadto sa zero. Kung wala’y mga pagdili sa mga kapanguhaan nga mahimo’g tawagan, ang usa ka API dali nga maapektuhan sa usa ka makapaluya nga pag-atake. 'Gamit ang API gateway o tool sa pagdumala, mahimo nimong itakda ang mga pagdili sa rate para sa mga API. Ang pagsala ug pagination kinahanglan iapil, ingon man ang mga tubag nga gipugngan.
Sayop nga Pag-configure sa Sistema sa Seguridad
Ang lain-laing mga giya sa pagsumpo sa seguridad medyo komprehensibo, tungod sa dakong posibilidad sa sayop nga pag-configure sa seguridad. Daghang gagmay nga mga butang ang mahimong makadaot sa seguridad sa imong platform. Posible nga ang mga itom nga kalo nga adunay tago nga katuyoan mahimong makadiskubre sa sensitibo nga kasayuran nga gipadala agig tubag sa mga sayup nga pangutana, ingon usa ka pananglitan.
Asaynment sa Misa
Tungod kay ang usa ka endpoint wala gihubit sa publiko wala magpasabut nga dili kini ma-access sa mga developer. Ang usa ka sekreto nga API mahimong dali nga ma-intercept ug ma-reverse-engineered sa mga hacker. Tan-awa kining batakang pananglitan, nga naggamit sa usa ka bukas nga Bearer Token sa usa ka "pribado" nga API. Sa laing bahin, ang publikong dokumentasyon mahimong anaa alang sa usa ka butang nga alang lamang sa personal nga paggamit. Ang gibutyag nga impormasyon mahimong gamiton sa mga itom nga kalo aron dili lang makabasa apan makamaniobra usab sa mga kinaiya sa butang. Hunahunaa ang imong kaugalingon nga usa ka hacker samtang nangita ka sa mga potensyal nga huyang nga punto sa imong mga depensa. Tugoti lamang kadtong adunay saktong katungod nga maka-access sa unsay gibalik. Aron mamenosan ang kahuyang, limitahan ang package sa pagtubag sa API. Ang mga respondents kinahanglan dili magdugang bisan unsang mga link nga dili kinahanglan.
Gipasiugda nga API:
Dili husto nga pagdumala sa asset
Gawas sa pagpausbaw sa produktibidad sa developer, ang mga bag-ong bersyon ug dokumentasyon importante para sa imong kaugalingong kaluwasan. Pag-andam alang sa pagpaila sa bag-ong mga bersyon ug ang paghunong sa daan nga mga API nga abante. Paggamit ug mas bag-ong mga API imbes nga tugutan ang mga tigulang nga magpabilin nga magamit. Ang usa ka API Specification mahimong gamiton isip usa ka nag-unang tinubdan sa kamatuoran alang sa dokumentasyon.
Injection
Ang mga API bulnerable sa pag-injection, apan mao usab ang mga third-party nga developer apps. Ang malisyosong code mahimong gamiton sa pagtangtang sa datos o pagkawat sa kompidensyal nga impormasyon, sama sa mga password ug mga numero sa credit card. Ang labing hinungdanon nga leksyon nga makuha gikan niini mao ang dili pagdepende sa mga default setting. Ang imong management o gateway supplier kinahanglan nga makahimo sa pag-accommodate sa imong talagsaon nga mga panginahanglanon sa aplikasyon. Ang mga mensahe sa sayup kinahanglan dili maglakip sa sensitibo nga kasayuran. Aron mapugngan ang data sa pagkatawo gikan sa pagtulo sa gawas sa sistema, ang Pairwise Pseudonyms kinahanglan gamiton sa mga token. Kini nagsiguro nga walay kliyente nga mahimong magtinabangay sa pag-ila sa usa ka tiggamit.
Dili igo nga Pag-log ug Pag-monitor
Kung mahitabo ang usa ka pag-atake, ang mga koponan nanginahanglan usa ka maayo nga gihunahuna nga estratehiya sa reaksyon. Ang mga nag-develop magpadayon sa pagpahimulos sa mga kahuyangan nga dili madakpan kung ang usa ka kasaligan nga sistema sa pag-log ug pag-monitor wala magamit, nga makapadugang sa mga kapildihan ug makadaot sa panan-aw sa publiko sa kompanya. Pagsagop sa usa ka higpit nga pag-monitor sa API ug diskarte sa pagsulay sa endpoint sa produksiyon. Ang mga tester sa puti nga kalo nga nakakaplag sa mga kahuyangan sa sayo pa kinahanglan nga gantihan og usa ka bounty scheme. Ang log trail mahimong pauswagon pinaagi sa paglakip sa pagkatawo sa user ngadto sa mga transaksyon sa API. Siguruha nga ang tanan nga mga layer sa imong arkitektura sa API gi-audit pinaagi sa paggamit sa datos sa Access Token.
Panapos
Ang mga arkitekto sa plataporma mahimong magsangkap sa ilang mga sistema aron mapadayon ang usa ka lakang sa unahan sa mga tig-atake pinaagi sa pagsunod sa natukod nga mga pamatasan sa pagkahuyang. Tungod kay ang mga API mahimong makahatag og accessibility sa Personally Identifiable Information (PII), ang pagmintinar sa seguridad sa maong mga serbisyo importante para sa kalig-on sa kompanya ug pagsunod sa balaod sama sa GDPR. Ayaw ipadala ang mga token sa OAuth direkta sa usa ka API nga wala gigamit ang API Gateway ug ang Phantom Token Approach.
Gipasiugda nga API:
