Top OATH API-kwesbaarhede
Top OATH API-kwesbaarhede: Inleiding
As dit by uitbuitings kom, is API's die beste plek om te begin. API toegang bestaan gewoonlik uit drie dele. Kliënte word tokens uitgereik deur 'n magtigingsbediener, wat langs API's loop. Die API ontvang toegangstekens van die kliënt en pas domeinspesifieke magtigingsreëls toe op grond daarvan.
Moderne sagtewaretoepassings is kwesbaar vir 'n verskeidenheid gevare. Bly op hoogte van die mees onlangse uitbuitings en sekuriteitsfoute; om maatstawwe vir hierdie kwesbaarhede te hê, is noodsaaklik om toepassingsekuriteit te verseker voordat 'n aanval plaasvind. Derdeparty-toepassings maak toenemend staat op die OAuth-protokol. Gebruikers sal 'n beter algehele gebruikerservaring hê, sowel as vinniger aanmelding en magtiging, danksy hierdie tegnologie. Dit is dalk veiliger as konvensionele magtiging aangesien gebruikers nie hul geloofsbriewe met die derdeparty-toepassing hoef bekend te maak om toegang tot 'n gegewe hulpbron te verkry nie. Alhoewel die protokol self veilig en beveilig is, kan die manier waarop dit geïmplementeer word jou oopmaak vir aanval.
Wanneer API's ontwerp en aangebied word, fokus hierdie artikel op tipiese OAuth-kwesbaarhede, sowel as verskeie sekuriteitsversagtings.
Gebreekte objekvlakmagtiging
Daar is 'n groot aanvalsoppervlak as magtiging oortree word aangesien API's toegang tot voorwerpe bied. Aangesien API-toeganklike items geverifieer moet word, is dit nodig. Implementeer objekvlak-magtigingskontroles met behulp van 'n API-poort. Slegs diegene met die toepaslike toestemmingsbewyse moet toegang toegelaat word.
Gebreekte gebruikersverifikasie
Ongemagtigde tokens is nog 'n gereelde manier vir aanvallers om toegang tot API's te verkry. Stawingstelsels kan gekap word, of 'n API-sleutel kan verkeerdelik ontbloot word. Stawingstekens kan wees deur kuberkrakers gebruik word toegang te verkry. Staaf mense slegs as hulle vertrou kan word, en gebruik sterk wagwoorde. Met OAuth kan jy verder gaan as blote API-sleutels en toegang tot jou data kry. Jy moet altyd dink oor hoe jy in en uit 'n plek sal kom. OAuth MTLS-afsenderbeperkte tokens kan in samewerking met Mutual TLS gebruik word om te verseker dat kliënte nie wangedra en tokens aan die verkeerde party oorgee terwyl hulle toegang tot ander masjiene kry nie.
API-promosie:
Oormatige datablootstelling
Daar is geen beperkings op die aantal eindpunte wat gepubliseer mag word nie. Meeste van die tyd is nie alle kenmerke vir alle gebruikers beskikbaar nie. Deur meer data bloot te stel as wat absoluut nodig is, stel jy jouself en ander in gevaar. Vermy bekendmaking van sensitiewe inligting totdat dit absoluut noodsaaklik is. Ontwikkelaars kan spesifiseer wie toegang het tot wat deur gebruik te maak van OAuth Scopes en Eise. Eise kan spesifiseer tot watter afdelings van die data 'n gebruiker toegang het. Toegangsbeheer kan eenvoudiger en makliker gemaak word om te bestuur deur 'n standaardstruktuur oor alle API's te gebruik.
Gebrek aan hulpbronne en tariefbeperking
Swart hoede gebruik dikwels ontkenning-van-diens (DoS) aanrandings as 'n brute-krag manier om 'n bediener te oorweldig en so sy uptyd tot nul te verminder. Met geen beperkings op die hulpbronne wat genoem mag word nie, is 'n API kwesbaar vir 'n aftakelende aanranding. 'Deur 'n API-poort of bestuursinstrument te gebruik, kan jy tariefbeperkings vir API's stel. Filtrering en paginering moet ingesluit word, asook antwoorde wat beperk word.
Verkeerde konfigurasie van die sekuriteitstelsel
Verskillende sekuriteitskonfigurasieriglyne is redelik omvattend, as gevolg van die aansienlike waarskynlikheid van sekuriteitswankonfigurasie. 'n Aantal klein dingetjies kan jou platform se sekuriteit in gevaar stel. Dit is moontlik dat swart hoede met bybedoelings sensitiewe inligting kan ontdek wat gestuur is in reaksie op misvormde navrae, as 'n voorbeeld.
Massa Opdrag
Net omdat 'n eindpunt nie publiek gedefinieer is nie, beteken dit nie dat dit nie deur ontwikkelaars toegang verkry kan word nie. 'n Geheime API kan maklik deur kuberkrakers onderskep en omgekeer word. Kyk na hierdie basiese voorbeeld, wat 'n oop Draer Token in 'n "private" API gebruik. Aan die ander kant kan openbare dokumentasie bestaan vir iets wat uitsluitlik vir persoonlike gebruik bedoel is. Blootgestelde inligting kan deur swart hoede gebruik word om nie net voorwerpeienskappe te lees nie, maar ook te manipuleer. Beskou jouself as 'n hacker terwyl jy na potensiële swak punte in jou verdediging soek. Laat slegs diegene met behoorlike regte toegang tot wat teruggestuur is. Om kwesbaarheid te verminder, beperk die API-reaksiepakket. Respondente moet geen skakels byvoeg wat nie absoluut vereis word nie.
Bevorderde API:
Onbehoorlike batebestuur
Afgesien van die verbetering van ontwikkelaarproduktiwiteit, is huidige weergawes en dokumentasie noodsaaklik vir jou eie veiligheid. Berei voor vir die bekendstelling van nuwe weergawes en die afskaffing van ou API's ver vooruit. Gebruik nuwer API's in plaas daarvan om oueres toe te laat om in gebruik te bly. 'n API-spesifikasie kan as 'n primêre bron van waarheid vir dokumentasie gebruik word.
Inspuiting
API's is kwesbaar vir inspuiting, maar so ook derdeparty-ontwikkelaarprogramme. Kwaadwillige kode kan gebruik word om data uit te vee of vertroulike inligting te steel, soos wagwoorde en kredietkaartnommers. Die belangrikste les om hiervan weg te neem, is om nie van die verstekinstellings afhanklik te wees nie. Jou bestuur of poortverskaffer moet in staat wees om jou unieke toepassingsbehoeftes te akkommodeer. Foutboodskappe moet nie sensitiewe inligting insluit nie. Om te verhoed dat identiteitsdata buite die stelsel lek, moet Paarwyse skuilname in tekens gebruik word. Dit verseker dat geen kliënt mag saamwerk om 'n gebruiker te identifiseer nie.
Onvoldoende aanteken en monitering
Wanneer 'n aanval wel plaasvind, benodig spanne 'n weldeurdagte reaksiestrategie. Ontwikkelaars sal voortgaan om kwesbaarhede uit te buit sonder om vasgevang te word as 'n betroubare aanteken- en moniteringstelsel nie in plek is nie, wat verliese sal verhoog en die publiek se persepsie van die maatskappy sal beskadig. Neem 'n streng API-monitering- en produksie-eindpunt-toetsstrategie aan. Withoedtoetsers wat vroegtydig kwesbaarhede vind, moet beloon word met 'n oorvloedskema. Die logspoor kan verbeter word deur die gebruiker se identiteit by API-transaksies in te sluit. Maak seker dat alle lae van jou API-argitektuur geoudit word deur Access Token-data te gebruik.
Gevolgtrekking
Platformargitekte kan hul stelsels toerus om 'n stap voor aanvallers te hou deur gevestigde kwesbaarheidskriteria te volg. Omdat API's toeganklikheid tot Persoonlik Identifiseerbare Inligting (PII) kan verskaf, is die handhawing van die sekuriteit van sulke dienste van kritieke belang vir beide maatskappystabiliteit en nakoming van wetgewing soos GDPR. Moet nooit OAuth-tokens direk oor 'n API stuur sonder om 'n API-poort en die Phantom Token-benadering te gebruik nie.
Bevorderde API:
