Helstu OATH API veikleikar
Helstu OATH API veikleikar: Inngangur
Þegar kemur að hetjudáð eru API besti staðurinn til að byrja. API aðgangur samanstendur venjulega af þremur hlutum. Viðskiptavinir eru gefin út tákn af heimildaþjóni, sem keyrir samhliða API. Forritaskilin fá aðgangslykla frá viðskiptavininum og beitir lénssértækum heimildarreglum byggðar á þeim.
Nútíma hugbúnaðarforrit eru viðkvæm fyrir ýmsum hættum. Fylgstu með nýjustu hetjudáðunum og öryggisgöllunum; að hafa viðmið fyrir þessa veikleika er nauðsynlegt til að tryggja öryggi forrita áður en árás á sér stað. Forrit þriðju aðila reiða sig í auknum mæli á OAuth-samskiptareglur. Notendur munu hafa betri heildarupplifun notenda, auk hraðari innskráningar og heimildar, þökk sé þessari tækni. Það gæti verið öruggara en hefðbundin heimild þar sem notendur þurfa ekki að gefa upp skilríki sín með þriðja aðila forritinu til að fá aðgang að tiltekinni auðlind. Þó að siðareglurnar sjálfar séu öruggar og öruggar, gæti hvernig hún er útfærð gert þér kleift að ráðast á.
Þegar forritaskil eru hönnuð og hýst einblínir þessi grein á dæmigerða OAuth veikleika, sem og ýmsar öryggisaðlögun.
Broken Object Level Heimild
Það er mikið árásarflöt ef brotið er gegn heimild þar sem API veitir aðgang að hlutum. Þar sem API-aðgengileg atriði verða að vera auðkennd er þetta nauðsynlegt. Innleiða heimildarathuganir á hlutstigi með því að nota API-gátt. Aðeins þeir sem hafa viðeigandi leyfisskilríki ættu að fá aðgang.
Brotin notendavottun
Óviðkomandi tákn eru önnur algeng leið fyrir árásarmenn til að fá aðgang að API. Auðkenningarkerfi kunna að vera brotist inn eða API lykill gæti verið afhjúpaður fyrir mistök. Auðkenningartákn geta verið notað af tölvuþrjótum að fá aðgang. Staðfestu fólk aðeins ef hægt er að treysta því og notaðu sterk lykilorð. Með OAuth geturðu farið út fyrir aðeins API lykla og fengið aðgang að gögnunum þínum. Þú ættir alltaf að hugsa um hvernig þú kemst inn og út úr stað. Hægt er að nota OAuth MTLS sendanda takmarkaða tákn í tengslum við gagnkvæm TLS til að tryggja að viðskiptavinir hegði sér ekki illa og sendi tákn til rangs aðila á meðan þeir fá aðgang að öðrum vélum.
API kynning:
Of mikil gagnaútsetning
Það eru engar takmarkanir á fjölda endapunkta sem má birta. Oftast eru ekki allir eiginleikar í boði fyrir alla notendur. Með því að afhjúpa fleiri gögn en brýna nauðsyn krefur stofnar þú sjálfan þig og aðra í hættu. Forðastu að birta viðkvæma upplýsingar þangað til það er algjörlega nauðsynlegt. Hönnuðir geta tilgreint hver hefur aðgang að hverju með því að nota OAuth gildissvið og kröfur. Kröfur geta tilgreint hvaða hluta gagna notandi hefur aðgang að. Hægt er að gera aðgangsstýringu einfaldari og auðveldari í stjórnun með því að nota staðlaða uppbyggingu á öllum API.
Skortur á fjármagni og takmörkun á gjaldskrá
Svartir hattar nota oft afneitun á þjónustu (DoS) árásir sem grófa leið til að yfirgnæfa netþjón og minnka þannig spennutíma hans í núll. Án takmarkana á tilföngum sem hægt er að kalla er API viðkvæmt fyrir lamandi árás. „Með því að nota API-gátt eða stjórnunartól geturðu stillt taxtatakmarkanir fyrir API. Síun og blaðsíðuskipun ætti að vera innifalin, auk þess að takmarka svör.
Rangstillingar öryggiskerfisins
Mismunandi leiðbeiningar um öryggisstillingar eru nokkuð yfirgripsmiklar, vegna verulegra líkinda á rangstillingu öryggis. Ýmislegt smátt gæti stofnað öryggi pallsins þíns í hættu. Hugsanlegt er að svartir hattar með leynilegum tilgangi geti uppgötvað viðkvæmar upplýsingar sem sendar eru sem svar við vansköpuðum fyrirspurnum, sem dæmi.
Messuverkefni
Bara vegna þess að endapunktur er ekki opinberlega skilgreindur þýðir það ekki að forritarar geti ekki nálgast hann. Leynilegt API getur verið auðveldlega stöðvað og öfugsnúið af tölvuþrjótum. Skoðaðu þetta grunndæmi, sem notar opið Bearer Token í „einka“ API. Á hinn bóginn geta opinber skjöl verið til fyrir eitthvað sem er eingöngu ætlað til persónulegra nota. Afhjúpaðar upplýsingar geta verið notaðar af svörtum hattum til að lesa ekki aðeins heldur einnig meðhöndla eiginleika hlutar. Líttu á þig sem tölvuþrjóta þegar þú leitar að hugsanlegum veikum punktum í vörnum þínum. Leyfa aðeins þeim sem hafa tilskilin réttindi aðgang að því sem var skilað. Til að lágmarka varnarleysi skaltu takmarka API svarpakkann. Svarendur ættu ekki að bæta við neinum tenglum sem eru ekki algerlega nauðsynlegir.
Kynt API:
Óviðeigandi eignastýring
Fyrir utan að auka framleiðni þróunaraðila eru núverandi útgáfur og skjöl nauðsynleg fyrir þitt eigið öryggi. Búðu þig undir kynningu á nýjum útgáfum og úreldingu gamalla API langt fram í tímann. Notaðu nýrri API í stað þess að leyfa eldri að vera áfram í notkun. API forskrift gæti verið notuð sem aðal uppspretta sannleika fyrir skjöl.
Injection
API eru viðkvæm fyrir innspýtingu, en það eru þróunaröpp þriðja aðila líka. Spillikóði gæti verið notaður til að eyða gögnum eða stela trúnaðarupplýsingum, svo sem lykilorðum og kreditkortanúmerum. Mikilvægasti lærdómurinn til að draga af þessu er að vera ekki háður sjálfgefnum stillingum. Stjórnunar- eða gáttarbirgir þinn ætti að geta komið til móts við einstaka umsóknarþarfir þínar. Villuskilaboð ættu ekki að innihalda viðkvæmar upplýsingar. Til að koma í veg fyrir að auðkennisgögn leki út fyrir kerfið ætti að nota Pairwise dulnefni í táknum. Þetta tryggir að enginn viðskiptavinur má vinna saman að því að auðkenna notanda.
Ófullnægjandi skráning og eftirlit
Þegar árás á sér stað þurfa lið úthugsaða viðbragðsstefnu. Hönnuðir munu halda áfram að nýta sér veikleika án þess að verða veiddir ef áreiðanlegt skráningar- og eftirlitskerfi er ekki til staðar, sem mun auka tap og skaða skynjun almennings á fyrirtækinu. Samþykkja stranga API eftirlit og framleiðsluendapunktaprófunarstefnu. Hvítir hattaprófarar sem finna veikleika snemma ættu að fá verðlaunafé. Hægt er að bæta skráarslóðina með því að setja auðkenni notandans inn í API-viðskipti. Gakktu úr skugga um að öll lög API arkitektúrsins þíns séu endurskoðuð með því að nota Access Token gögn.
Niðurstaða
Platformsarkitektar geta útbúið kerfin sín til að vera skrefi á undan árásarmönnum með því að fylgja viðmiðum um viðkvæmni. Vegna þess að API geta veitt aðgengi að persónugreinanlegum upplýsingum (PII) er mikilvægt að viðhalda öryggi slíkrar þjónustu bæði fyrir stöðugleika fyrirtækisins og samræmi við löggjöf eins og GDPR. Sendu aldrei OAuth tákn beint yfir API án þess að nota API hlið og Phantom Token Approach.
Kynt API:
