Top OATH API Kerentanan
Kerentanan API OATH Top: Intro
Nalika nerangake eksploitasi, API minangka papan sing paling apik kanggo miwiti. API akses biasane kasusun saka telung bagean. Klien ditanggepi token dening Server Otorisasi, sing mlaku bebarengan karo API. API nampa token akses saka klien lan ngetrapake aturan wewenang khusus domain adhedhasar kasebut.
Aplikasi piranti lunak modern rentan marang macem-macem bebaya. Tansah nyepetake eksploitasi paling anyar lan cacat keamanan; duwe pathokan kanggo kerentanan kasebut penting kanggo njamin keamanan aplikasi sadurunge ana serangan. Aplikasi pihak katelu tambah akeh gumantung marang protokol OAuth. Pangguna bakal duwe pengalaman pangguna sakabèhé sing luwih apik, uga login lan wewenang sing luwih cepet, amarga teknologi iki. Bisa uga luwih aman tinimbang wewenang konvensional amarga pangguna ora kudu mbukak kredensial karo aplikasi pihak katelu kanggo ngakses sumber daya tartamtu. Nalika protokol kasebut aman lan aman, cara sing ditindakake bisa uga mbukak kanggo nyerang.
Nalika ngrancang lan hosting API, artikel iki fokus ing kerentanan OAuth khas, uga macem-macem mitigasi keamanan.
Wewenang Tingkat Obyek Broken
Ana lumahing serangan sing jembar yen wewenang dilanggar amarga API nyedhiyakake akses menyang obyek. Wiwit item sing bisa diakses API kudu diotentikasi, iki perlu. Ngleksanakake mriksa wewenang tingkat obyek nggunakake gateway API. Mung sing duwe kredensial ijin sing cocog kudu diidini akses.
Broken User Authentication
Token sing ora sah minangka cara liyane sing kerep kanggo panyerang entuk akses menyang API. Sistem otentikasi bisa uga disusupi, utawa kunci API bisa uga katon salah. Token otentikasi bisa uga digunakake dening peretas kanggo entuk akses. Otentikasi wong mung yen bisa dipercaya, lan gunakake sandhi sing kuwat. Kanthi OAuth, sampeyan bisa ngluwihi kunci API lan entuk akses menyang data sampeyan. Sampeyan kudu tansah mikir babagan carane sampeyan bakal mlebu lan metu saka sawijining panggonan. OAuth MTLS Sender Constrained Token bisa digunakake bebarengan karo Mutual TLS kanggo njamin yen klien ora tumindak salah lan ngirim token menyang pihak sing salah nalika ngakses mesin liyane.
Promosi API:
Eksposur Data Kakehan
Ora ana watesan babagan jumlah titik pungkasan sing bisa diterbitake. Umume wektu, ora kabeh fitur kasedhiya kanggo kabeh pangguna. Kanthi mbabarake data luwih akeh tinimbang sing pancen perlu, sampeyan nggawe bebaya dhewe lan wong liya. Aja ngungkapake sing sensitif Alexa nganti pancen perlu. Pangembang bisa nemtokake sapa sing nduweni akses menyang apa kanthi nggunakake Cakupan lan Klaim OAuth. Klaim bisa nemtokake bagean data sing bisa diakses pangguna. Kontrol akses bisa dadi luwih gampang lan gampang diatur kanthi nggunakake struktur standar ing kabeh API.
Kekurangan Sumber Daya & Watesan Tarif
Topi ireng asring nggunakake serangan denial-of-service (DoS) minangka cara brute-force kanggo ngatasi server lan nyuda wektu aktif dadi nol. Kanthi ora ana watesan ing sumber daya sing bisa diarani, API rentan kanggo serangan sing ngrusak. 'Nganggo gateway API utawa alat manajemen, sampeyan bisa nyetel watesan tarif kanggo API. Nyaring lan pagination kudu kalebu, uga jawaban sing diwatesi.
Salah Konfigurasi Sistem Keamanan
Pedoman konfigurasi keamanan sing beda-beda cukup lengkap, amarga kemungkinan kesalahan konfigurasi keamanan sing signifikan. Sawetara perkara cilik bisa mbebayani keamanan platform sampeyan. Bisa uga topi ireng kanthi tujuan ulterior bisa nemokake informasi sensitif sing dikirim kanggo nanggepi pitakon sing salah, minangka conto.
Tugas Massa
Mung amarga titik pungkasan ora ditetepake sacara umum ora ateges ora bisa diakses dening pangembang. API rahasia bisa gampang dicegat lan direkayasa balik dening peretas. Deleng conto dhasar iki, sing nggunakake Token Bearer sing mbukak ing API "pribadi". Ing sisih liya, dokumentasi umum bisa uga ana kanggo perkara sing khusus kanggo panggunaan pribadi. Informasi sing kapapar bisa digunakake dening topi ireng kanggo ora mung maca nanging uga ngapusi karakteristik obyek. Coba dhewe minangka peretas nalika sampeyan nggoleki titik lemah ing pertahanan sampeyan. Mung wong sing nduweni hak akses menyang apa sing wis bali. Kanggo nyilikake kerentanan, matesi paket respon API. Responden ora kudu nambah pranala sing ora dibutuhake.
API sing dipromosikan:
Manajemen Aset sing ora bener
Saliyane nambah produktivitas pangembang, versi lan dokumentasi saiki penting kanggo keamanan sampeyan dhewe. Siapke kanggo introduksi saka versi anyar lan deprecation saka API lawas adoh ing advance. Gunakake API sing luwih anyar tinimbang ngidini sing lawas tetep digunakake. Spesifikasi API bisa digunakake minangka sumber utama bebener kanggo dokumentasi.
Injeksi
API rentan kanggo injeksi, nanging uga aplikasi pangembang pihak katelu. Kode ala bisa digunakake kanggo mbusak data utawa nyolong informasi rahasia, kayata sandhi lan nomer kertu kredit. Pawulangan paling penting kanggo njupuk adoh saka iki kanggo ora gumantung ing setelan gawan. Manajemen utawa supplier gateway sampeyan kudu bisa nyukupi kabutuhan aplikasi unik sampeyan. Pesen kesalahan ngirim ora kalebu informasi sensitif. Kanggo nyegah data identitas bocor ing njaba sistem, Pairwise Pseudonyms kudu digunakake ing token. Iki mesthekake yen ora ana klien sing bisa kerja bareng kanggo ngenali pangguna.
Logging lan Ngawasi Ora Cekap
Nalika ana serangan, tim mbutuhake strategi reaksi sing wis dipikirake kanthi apik. Pangembang bakal terus ngeksploitasi kerentanan tanpa kejiret yen ora ana sistem logging lan pemantauan sing dipercaya, sing bakal nambah kerugian lan ngrusak persepsi masarakat babagan perusahaan kasebut. Nganggo strategi tes titik akhir lan pemantauan API sing ketat. Penguji topi putih sing nemokake kerentanan ing awal kudu diganjar karo skema hadiah. Trail log bisa uga apik kanthi nyakup identitas pangguna menyang transaksi API. Priksa manawa kabeh lapisan arsitektur API sampeyan wis diaudit kanthi nggunakake data Token Akses.
kesimpulan
Arsitek platform bisa nglengkapi sistem supaya luwih maju tinimbang para penyerang kanthi ngetutake kritéria kerentanan sing wis ditemtokake. Amarga API bisa nyedhiyakake aksesibilitas menyang Informasi Identifikasi Pribadi (PII), njaga keamanan layanan kasebut penting kanggo stabilitas perusahaan lan tundhuk karo peraturan kayata GDPR. Aja ngirim token OAuth langsung liwat API tanpa nggunakake Gateway API lan Pendekatan Token Phantom.
API sing dipromosikan:
