OATH APIaren ahultasun nagusiak
OATH APIaren ahultasun nagusiak: sarrera
Explotazioei dagokienez, APIak dira hasteko lekurik onena. API sarbidea hiru zati izan ohi du. Bezeroei APIekin batera exekutatzen den Baimen zerbitzari batek tokenak igortzen dizkie. APIak bezeroaren sarbide-tokenak jasotzen ditu eta haietan oinarrituta domeinuko baimen-arauak aplikatzen ditu.
Software-aplikazio modernoak hainbat arriskuren aurrean zaurgarriak dira. Jarrai ezazu azken ustiapen eta segurtasun-akatsen berri; Ahultasun horietarako erreferentziak izatea ezinbestekoa da aplikazioen segurtasuna bermatzeko, erasoa gertatu aurretik. Hirugarrenen aplikazioak gero eta gehiago oinarritzen dira OAuth protokoloan. Erabiltzaileek erabiltzailearen esperientzia orokor hobea izango dute, baita saioa hasteko eta baimentzeko azkarragoak ere, teknologia honi esker. Baliteke ohiko baimena baino seguruagoa izatea, erabiltzaileek ez baitute zertan beren kredentzialak ezagutarazi hirugarrenen aplikazioarekin baliabide jakin batera atzitzeko. Protokoloa bera segurua eta segurua den arren, inplementatzeko moduak erasorako irekita utzi zaitu.
APIak diseinatzen eta ostatzerakoan, artikulu honek OAuth-en ahultasun tipikoetan zentratzen da, baita segurtasun-murrizketa ezberdinetan ere.
Hautsitako objektu-mailako baimena
Eraso azalera zabala dago baimena urratzen bada, APIek objektuetarako sarbidea ematen baitute. API bidez eskura daitezkeen elementuak autentifikatu behar direnez, beharrezkoa da. Ezarri objektu-mailako baimen-egiaztapenak API atebide bat erabiliz. Baimen-kredentzial egokiak dituztenei soilik baimendu behar zaie sarbidea.
Erabiltzaileen autentifikazio hautsita
Baimenik gabeko tokenak dira erasotzaileek APIetarako sarbidea lortzeko maiz egiten duten beste modu bat. Baliteke autentifikazio-sistemak hackeatzea edo API gako bat akats bat agerian egotea. Autentifikazio-tokenak izan daitezke hackerrek erabiltzen dute sarbidea eskuratzeko. Egiaztatu jendea fidagarriak badira soilik eta erabili pasahitz sendoak. OAuth-ekin, API gako soiletatik harago joan zaitezke eta zure datuetarako sarbidea lor dezakezu. Beti pentsatu behar duzu nola sartu eta aterako zaren leku batean. OAuth MTLS Sender Constrained Tokenak Mutual TLS-ekin batera erabil daitezke bezeroak gaizki portatzen ez direla bermatzeko eta okerreko alderdiari tokenak pasatzen zaizkiola bermatzeko, beste makinetan sartzen diren bitartean.
API sustapena:
Gehiegizko Datuen Esposizioa
Ez dago mugarik argitara daitezkeen puntuen kopuruan. Gehienetan, funtzio guztiak ez daude erabilgarri erabiltzaile guztientzat. Beharrezkoa dena baino datu gehiago azaleratuz gero, zeure burua eta beste batzuk arriskuan jartzen dituzu. Saihestu sentikorra agertzea informazio guztiz beharrezkoa den arte. Garatzaileek zertarako sarbidea duen zehaztu dezakete OAuth esparruak eta erreklamazioak erabiliz. Erreklamazioek erabiltzaile batek sarbidea duen datuen zein ataletara zehaztu dezake. Sarbide-kontrola errazagoa eta kudeatzeko errazagoa izan daiteke API guztietan egitura estandar bat erabiliz.
Baliabide falta eta tasa mugatzea
Kapelu beltzak zerbitzuaren ukapena (DoS) erasoak erabiltzen ditu sarritan zerbitzari bat gainditzeko eta, beraz, bere funtzionamendu-denbora zerora murrizteko indar gordina gisa. Dei daitezkeen baliabideetan murrizketarik gabe, API bat eraso ahulgarri baten aurrean zaurgarria da. 'API atebide edo kudeaketa tresna bat erabiliz, APIentzako tarifa-murrizketak ezar ditzakezu. Iragazkiak eta orrialdeak sartu behar dira, baita erantzunak mugatu ere.
Segurtasun-sistemaren konfigurazio okerra
Segurtasun-konfigurazio-jarraibide desberdinak nahiko integralak dira, segurtasuna gaizki konfiguratzeko probabilitate handia baita. Gauza txiki batzuek zure plataformaren segurtasuna arriskuan jar dezakete. Baliteke helburu gehiago dituzten kapela beltzek gaizki formatutako kontsultei erantzunez bidalitako informazio sentikorra aurkitzea, adibide gisa.
Meza-esleipena
Amaiera-puntu bat publikoki definituta ez egoteak ez du esan nahi garatzaileek atzitu ezin dutenik. API sekretu bat erraz atzeman eta alderantzizko ingeniaritza egin dezakete hackerrek. Begiratu oinarrizko adibide honi, API "pribatu" batean Bearer Token irekia erabiltzen duena. Bestalde, erabilera pertsonalerako soilik den zerbaitetarako dokumentazio publikoa egon daiteke. Ageriko informazioa kapela beltzek erabil dezakete objektuen ezaugarriak irakurtzeko ez ezik manipulatzeko ere. Hartu zure burua hacker bat zure defentsetan puntu ahulak bilatzen dituzun bitartean. Itzulitakoa eskubide egokiak dituztenei soilik baimendu. Ahultasuna gutxitzeko, mugatu APIaren erantzun paketea. Inkestatuek ez dute guztiz beharrezkoak ez diren estekarik gehitu behar.
Sustatutako APIa:
Aktiboen kudeaketa desegokia
Garatzaileen produktibitatea hobetzeaz gain, egungo bertsioak eta dokumentazioa ezinbestekoak dira zure segurtasunerako. Prestatu bertsio berriak sartzeko eta API zaharrak zaharkitzeko. Erabili API berriagoak, zaharragoak erabiltzen jarraitu beharrean. API zehaztapen bat dokumentaziorako egia-iturri nagusi gisa erabil liteke.
Injection
APIak zaurgarriak dira injekziorako, baina hirugarrenen garatzaileen aplikazioak ere bai. Kode gaiztoa erabil daiteke datuak ezabatzeko edo isilpeko informazioa lapurtzeko, hala nola pasahitzak eta kreditu-txartelen zenbakiak. Hortik ateratzeko ikasgai garrantzitsuena ezarpen lehenetsien menpe ez egotea da. Zure kudeaketa edo atebide-hornitzaileak zure aplikazio-behar bereziak asetzeko gai izan beharko luke. Errore-mezuek ez dute informazio sentikorra izan behar. Nortasun-datuak sistematik kanpo isurtzea saihesteko, Tokenetan Pairwise Pseudonyms erabili behar da. Horrek bermatzen du bezero batek ezin duela elkarrekin lan egin erabiltzaile bat identifikatzeko.
Erregistro eta Jarraipen nahikoa
Eraso bat gertatzen denean, taldeek ondo pentsatutako erreakzio estrategia bat behar dute. Garatzaileek ahultasunak ustiatzen jarraituko dute harrapatu gabe erregistratze- eta monitorizazio-sistema fidagarririk ez badago, eta horrek galerak areagotuko ditu eta publikoak konpainiaz duen pertzepzioa kaltetuko du. Hartu APIen jarraipena eta ekoizpen amaierako probak egiteko estrategia zorrotza. Ahuleziak hasieran aurkitzen dituzten kapela zuriko probatzaileek sari-eskema batekin saritu behar dute. Erregistroaren ibilbidea hobetu daiteke erabiltzailearen identitatea API transakzioetan sartuta. Ziurtatu zure API arkitekturako geruza guztiak ikuskatzen direla Access Token datuak erabiliz.
Ondorioa
Plataformako arkitektoek beren sistemak ekipa ditzakete erasotzaileen aurrean pauso bat mantentzeko ezarritako ahultasun-irizpideak jarraituz. APIek Pertsonalki Identifika daitekeen Informaziorako (PII) irisgarritasuna eskain dezaketenez, zerbitzu horien segurtasuna mantentzea funtsezkoa da enpresaren egonkortasunerako eta GDPR bezalako legedia betetzeko. Ez bidali inoiz OAuth tokenak zuzenean API baten bidez API Gateway eta Phantom Token Approach erabili gabe.
Sustatutako APIa:
