Principali vulnerabilità di l'API OATH
Vulnerabilità di l'API Top OATH: Intro
Quandu si tratta di sfruttamenti, l'API sò u più grande postu per inizià. API L'accessu hè generalmente custituitu di trè parti. I clienti sò emessi tokens da un Servitore d'Autorizazione, chì corre cù l'API. L'API riceve tokens d'accessu da u cliente è applicà e regule d'autorizazione specifiche di u duminiu basatu annantu à elli.
L'applicazioni software muderni sò vulnerabili à una varietà di periculi. Mantene a veloce nantu à i più recenti sfruttamenti è difetti di sicurità; avè benchmarks per queste vulnerabilità hè essenziale per assicurà a sicurità di l'applicazione prima chì un attaccu succede. L'applicazioni di terze parti si basanu di più in u protocolu OAuth. L'utilizatori averebbenu una sperienza d'utilizatore generale megliu, è ancu un login più veloce è l'autorizazione, grazia à sta tecnulugia. Pò esse più sicura ch'è l'autorizazione convenzionale, postu chì l'utilizatori ùn anu micca bisognu di divulgà e so credenziali cù l'applicazione di terzu per accede à una risorsa data. Mentre chì u protokollu stessu hè sicuru è sicuru, a manera chì hè implementata puderia lascià aperta à l'attaccu.
Quandu cuncepisce è ospitu API, questu articulu si cuncentra nantu à e vulnerability tipiche di OAuth, è ancu di diverse mitigazioni di sicurezza.
Autorizazione di Livellu d'Oggettu Rottu
Ci hè una vasta superficia d'attaccu se l'autorizazione hè violata postu chì l'API furnisce l'accessu à l'uggetti. Siccomu l'articuli accessibili à l'API deve esse autentificati, questu hè necessariu. Implementa i cuntrolli di l'autorizazione à u nivellu di l'ughjettu utilizendu un gateway API. Solu quelli chì anu i credenziali di permessu adattati devenu esse permessi di accessu.
Autentificazione di l'Utilizatore rottu
I tokens micca autorizati sò un altru modu frequente per l'attaccanti per ottene accessu à l'API. I sistemi di autentificazione ponu esse pirate, o una chjave API pò esse esposta per errore. I tokens di autentificazione ponu esse utilizatu da i pirate per acquistà accessu. Autentificate e persone solu s'ellu ponu esse fiducia, è utilizate password forti. Cù OAuth, pudete andà al di là di e mera chiavi API è accede à i vostri dati. Duvete sempre pensà à cumu entre è fora di un locu. OAuth MTLS Sender Constrained Tokens ponu esse aduprati in cunjunzione cù Mutual TLS per guarantiscenu chì i clienti ùn si cumportanu micca male è passanu tokens à u partitu incorrectu mentre accede à altre macchine.
Promozione API:
Esposizione eccessiva di dati
Ùn ci hè micca limitazione di u numeru di punti finali chì ponu esse publicati. A maiò parte di u tempu, micca tutte e funziunalità sò dispunibuli per tutti l'utilizatori. Esponendu più dati di ciò chì hè assolutamente necessariu, mette in periculu sè stessu è l'altri. Evitate di divulgazione sensibile nantu à u corsu finu à chì hè assolutamente necessariu. I sviluppatori ponu specificà quale hà accessu à ciò chì utilizendu Scopes OAuth è Rivendicazioni. I rivindicazioni ponu specificà à quali sezioni di e dati un utilizatore hà accessu. U cuntrollu di l'accessu pò esse simplificatu è più faciule da gestisce usendu una struttura standard in tutte l'API.
Mancanza di Risorse è Limitazione di Tariffa
I cappelli neri spessu usanu l'assalti di denial-of-service (DoS) cum'è un modu di forza bruta per sopraffare un servitore è cusì riduce u so uptime à zero. Senza restrizioni à e risorse chì ponu esse chjamate, una API hè vulnerabile à un assaltu debilitante. "Usendu una porta di API o un strumentu di gestione, pudete stabilisce restrizioni di tariffu per l'API. A filtrazione è a paginazione deve esse inclusa, è ancu e risposte limitate.
Misconfigurazione di u Sistema di Sicurezza
E diverse linee di cunfigurazione di sicurezza sò abbastanza cumplete, per via di a probabilità significativa di cunfigurazione sbagliata di sicurezza. Una quantità di picculi cose puderanu mette in periculu a sicurità di a vostra piattaforma. Hè pussibule chì i cappelli neri cù scopi ulteriori ponu scopre infurmazione sensitiva mandata in risposta à dumande malformate, per esempiu.
Assegnazione di massa
Solu perchè un endpoint ùn hè micca definitu publicamente ùn implica micca chì i sviluppatori ùn ponu micca accede. Un API secretu pò esse facilmente interceptatu è ingegneria inversa da i pirate. Fighjate à questu esempiu basicu, chì usa un Token Bearer apertu in una API "privata". Per d 'altra banda, a documentazione publica pò esse per qualcosa chì hè solu destinatu à l'usu persunale. L'infurmazione esposta pò esse aduprata da i cappelli neri per micca solu leghje, ma ancu manipulà e caratteristiche di l'ughjettu. Cunsideratevi un pirate mentre cercate punti debuli potenziali in e vostre difese. Permettenu solu à quelli chì anu u dirittu propiu accessu à ciò chì hè statu tornatu. Per minimizzà a vulnerabilità, limite u pacchettu di risposta API. I rispondenti ùn devenu micca aghjunghje ligami chì ùn sò micca assolutamente necessarii.
API promossa :
Gestione di l'assi inappropriata
A parte di rinfurzà a produtividade di u sviluppatore, e versioni attuali è a documentazione sò essenziali per a vostra propria salvezza. Preparate per l'intruduzioni di novi versioni è a deprecazione di l'API antichi assai in anticipu. Aduprate API più recenti invece di permette à i vechji di stà in usu. Una Specificazione API puderia esse aduprata cum'è una fonte primaria di verità per a documentazione.
Injection
L'API sò vulnerabili à l'iniezione, ma ancu l'applicazioni di sviluppatori di terzu. U codice malicioso pò esse usatu per sguassà dati o arrubbanu infurmazioni cunfidenziale, cum'è password è numeri di carte di creditu. A lezioni più impurtante per piglià da questu hè di ùn dipende micca da i paràmetri predeterminati. U vostru fornitore di gestione o gateway deve esse capace di accoglie i vostri bisogni unichi di l'applicazione. I missaghji d'errore ùn deve micca include infurmazione sensitiva. Per impediscenu a dati di l'identità di fughje fora di u sistema, i pseudonimi di Pairwise deve esse usatu in tokens. Questu assicura chì nisun cliente pò travaglià inseme per identificà un utilizatore.
Insufficiente Logging è Monitoring
Quandu un attaccu hè fattu, e squadre necessitanu una strategia di reazione ben pensata. I sviluppatori cuntinueghjanu à sfruttà e vulnerabilità senza esse catturati se un sistema di logging affidabile è monitoraghju ùn hè micca in u locu, chì aumenterà e perdite è dannu a percepzione di u publicu di a cumpagnia. Adoptate un strettu monitoraghju API è una strategia di teste finale di produzzione. I teste di cappellu biancu chì trovanu vulnerabili prima deve esse ricumpinsati cù un schema di ricompense. A traccia di log pò esse migliurata includendu l'identità di l'utilizatore in transazzione API. Assicuratevi chì tutti i strati di a vostra architettura API sò verificati usendu dati di Access Token.
cunchiusioni
L'architetti di a piattaforma ponu equipà i so sistemi per mantene un passu davanti à l'attaccanti seguendu i criteri di vulnerabilità stabiliti. Perchè l'API ponu furnisce l'accessibilità à l'Informazione Personalmente Identificabile (PII), mantene a sicurità di tali servizii hè criticu per a stabilità di a cumpagnia è u rispettu di a legislazione cum'è GDPR. Ùn mandate mai tokens OAuth direttamente nantu à una API senza aduprà un API Gateway è u Phantom Token Approach.
API promossa :
