Top OATH API Gwendidau
Top OATH API Gwendidau: Cyflwyniad
O ran campau, APIs yw'r lle gorau i ddechrau. API mae mynediad fel arfer yn cynnwys tair rhan. Mae cleientiaid yn cael tocynnau gan Weinydd Awdurdodi, sy'n rhedeg ochr yn ochr ag APIs. Mae'r API yn derbyn tocynnau mynediad gan y cleient ac yn cymhwyso rheolau awdurdodi parth-benodol yn seiliedig arnynt.
Mae cymwysiadau meddalwedd modern yn agored i amrywiaeth o beryglon. Cael y wybodaeth ddiweddaraf am y campau a'r diffygion diogelwch diweddaraf; mae cael meincnodau ar gyfer y gwendidau hyn yn hanfodol i sicrhau diogelwch cymwysiadau cyn i ymosodiad ddigwydd. Mae cymwysiadau trydydd parti yn dibynnu fwyfwy ar brotocol OAuth. Bydd defnyddwyr yn cael profiad defnyddiwr cyffredinol gwell, yn ogystal â mewngofnodi ac awdurdodi cyflymach, diolch i'r dechnoleg hon. Gall fod yn fwy diogel nag awdurdodiad confensiynol gan nad oes rhaid i ddefnyddwyr ddatgelu eu tystlythyrau gyda'r rhaglen trydydd parti er mwyn cael mynediad at adnodd penodol. Er bod y protocol ei hun yn ddiogel ac yn ddiogel, efallai y bydd y ffordd y caiff ei weithredu yn eich gadael yn agored i ymosod.
Wrth ddylunio a chynnal APIs, mae'r erthygl hon yn canolbwyntio ar wendidau nodweddiadol OAuth, yn ogystal ag amrywiol fesurau lliniaru diogelwch.
Awdurdodiad Lefel Gwrthrych Torri
Mae arwyneb ymosod helaeth os torrir awdurdodiad gan fod APIs yn darparu mynediad i wrthrychau. Gan fod yn rhaid dilysu eitemau sy'n hygyrch i API, mae hyn yn angenrheidiol. Gweithredu gwiriadau awdurdodi lefel gwrthrych gan ddefnyddio porth API. Dim ond y rhai sydd â'r manylion caniatâd priodol ddylai gael mynediad.
Dilysiad Defnyddiwr Torri
Mae tocynnau anawdurdodedig yn ffordd aml arall i ymosodwyr gael mynediad at APIs. Gall systemau dilysu gael eu hacio, neu gall allwedd API gael ei hamlygu ar gam. Gall tocynnau dilysu fod a ddefnyddir gan hacwyr i gael mynediad. Dilyswch pobl dim ond os gellir ymddiried ynddynt, a defnyddiwch gyfrineiriau cryf. Gydag OAuth, gallwch fynd y tu hwnt i allweddi API yn unig a chael mynediad i'ch data. Dylech bob amser feddwl sut y byddwch chi'n mynd i mewn ac allan o le. Gellir defnyddio Tocynnau Cyfyngedig Anfonwr OAuth MTLS ar y cyd â Mutual TLS i warantu nad yw cleientiaid yn camymddwyn ac yn trosglwyddo tocynnau i'r parti anghywir wrth gyrchu peiriannau eraill.
Hyrwyddo API:
Amlygiad Data Gormodol
Nid oes unrhyw gyfyngiadau ar nifer y pwyntiau terfyn y gellir eu cyhoeddi. Y rhan fwyaf o'r amser, nid yw pob nodwedd ar gael i bob defnyddiwr. Trwy ddatgelu mwy o ddata nag sy'n gwbl angenrheidiol, rydych chi'n rhoi eich hun ac eraill mewn perygl. Osgoi datgelu sensitif gwybodaeth nes ei fod yn gwbl angenrheidiol. Gall datblygwyr nodi pwy sydd â mynediad at beth trwy ddefnyddio Sgôp a Hawliadau OAuth. Gall hawliadau nodi pa adrannau o'r data y mae gan ddefnyddiwr fynediad iddynt. Gellir gwneud rheoli mynediad yn symlach ac yn haws ei reoli trwy ddefnyddio strwythur safonol ar draws pob API.
Diffyg Adnoddau a Chyfyngu Cyfraddau
Mae hetiau du yn aml yn defnyddio ymosodiadau gwrthod gwasanaeth (DoS) fel ffordd 'n Ysgrublaidd o lethu gweinydd a thrwy hynny leihau ei uptime i sero. Heb unrhyw gyfyngiadau ar yr adnoddau y gellir eu galw, mae API yn agored i ymosodiad gwanychol. 'Gan ddefnyddio porth API neu offeryn rheoli, gallwch osod cyfyngiadau cyfradd ar gyfer APIs. Dylid cynnwys hidlo a thudaleniad, yn ogystal â chyfyngu ar atebion.
Camgyflunio'r System Ddiogelwch
Mae canllawiau cyfluniad diogelwch gwahanol yn weddol gynhwysfawr, oherwydd y tebygolrwydd sylweddol o gamgyflunio diogelwch. Efallai y bydd nifer o bethau bach yn peryglu diogelwch eich platfform. Mae’n bosibl y bydd hetiau du â dibenion cudd yn dod o hyd i wybodaeth sensitif a anfonwyd mewn ymateb i ymholiadau camffurfiedig, er enghraifft.
Aseiniad Offeren
Nid yw'r ffaith nad yw pwynt terfyn wedi'i ddiffinio'n gyhoeddus yn golygu na all datblygwyr gael mynediad iddo. Gall hacwyr ryng-gipio a pheirianneg o chwith yn hawdd API cyfrinachol. Edrychwch ar yr enghraifft sylfaenol hon, sy'n defnyddio Tocyn Cludwyr agored mewn API “preifat”. Ar y llaw arall, gall dogfennaeth gyhoeddus fodoli ar gyfer rhywbeth sydd wedi'i fwriadu at ddefnydd personol yn unig. Gall gwybodaeth agored gael ei defnyddio gan hetiau du nid yn unig i ddarllen ond hefyd i drin nodweddion gwrthrychau. Ystyriwch eich hun yn haciwr wrth i chi chwilio am fannau gwan posibl yn eich amddiffynfeydd. Caniatáu i'r rhai sydd â hawliau priodol gael mynediad i'r hyn a ddychwelwyd yn unig. Er mwyn lleihau bregusrwydd, cyfyngu ar y pecyn ymateb API. Ni ddylai ymatebwyr ychwanegu unrhyw ddolenni nad oes eu hangen yn llwyr.
API wedi'i hyrwyddo:
Rheolaeth amhriodol o asedau
Ar wahân i wella cynhyrchiant datblygwyr, mae fersiynau a dogfennaeth gyfredol yn hanfodol ar gyfer eich diogelwch eich hun. Paratoi ar gyfer cyflwyno fersiynau newydd a dibrisio hen APIs ymhell ymlaen llaw. Defnyddiwch APIs mwy newydd yn lle caniatáu i rai hŷn barhau i gael eu defnyddio. Gellid defnyddio Manyleb API fel prif ffynhonnell gwirionedd ar gyfer dogfennaeth.
Chwistrellu
Mae APIs yn agored i chwistrelliad, ond felly hefyd apiau datblygwyr trydydd parti. Gellir defnyddio cod maleisus i ddileu data neu ddwyn gwybodaeth gyfrinachol, fel cyfrineiriau a rhifau cardiau credyd. Y wers bwysicaf i'w thynnu oddi wrth hyn yw peidio â dibynnu ar y gosodiadau diofyn. Dylai eich rheolwr neu gyflenwr porth allu darparu ar gyfer eich anghenion cais unigryw. Ni ddylai negeseuon gwall gynnwys gwybodaeth sensitif. Er mwyn atal data hunaniaeth rhag gollwng y tu allan i'r system, dylid defnyddio Ffugenwau Pairwise mewn tocynnau. Mae hyn yn sicrhau na all unrhyw gleient gydweithio i adnabod defnyddiwr.
Logio a Monitro Annigonol
Pan fydd ymosodiad yn digwydd, mae timau angen strategaeth ymateb sydd wedi'i meddwl yn ofalus. Bydd datblygwyr yn parhau i fanteisio ar wendidau heb gael eu dal os nad oes system logio a monitro ddibynadwy ar waith, a fydd yn cynyddu colledion ac yn niweidio canfyddiad y cyhoedd o'r cwmni. Mabwysiadu strategaeth profi pwynt terfyn monitro a chynhyrchu API llym. Dylai profwyr hetiau gwyn sy'n dod o hyd i wendidau yn gynnar gael eu gwobrwyo â chynllun bounty. Gellir gwella'r llwybr log trwy gynnwys hunaniaeth y defnyddiwr mewn trafodion API. Sicrhewch fod pob haen o'ch pensaernïaeth API yn cael eu harchwilio gan ddefnyddio data Access Token.
Casgliad
Gall penseiri platfformau arfogi eu systemau i gadw un cam ar y blaen i ymosodwyr trwy ddilyn meini prawf bregusrwydd sefydledig. Oherwydd y gall APIs ddarparu hygyrchedd i Wybodaeth a Adnabyddir yn Bersonol (PII), mae cynnal diogelwch gwasanaethau o'r fath yn hanfodol ar gyfer sefydlogrwydd cwmnïau a chydymffurfio â deddfwriaeth fel GDPR. Peidiwch byth ag anfon tocynnau OAuth yn uniongyrchol dros API heb ddefnyddio Porth API a Phantom Token Approach.
API wedi'i hyrwyddo:
