Водич за безбедност на API во 2023 година

Водич за безбедност на API

Вовед

API-ите се од суштинско значење за зголемување на иновациите во нашата дигитална економија.
 
Garner, Inc прогнозира дека до 2020 година, повеќе од 25 милијарди работите ќе се поврзат на интернет.
 
Тоа претставува можност за зголемување на приходите $ 300 милијарди поттикнати од API. 
 
Сепак, API-ите изложуваат поширока нападна површина за компјутерски криминалци.
 
Тоа е затоа што API-те ја изложуваат логиката на апликацијата и чувствителните податоци.
 
Оваа статија истражува како да се обезбедат API-и.
 
Ќе разговараме за REST API наспроти SOAP API.
 
Ќе го разгледаме OWASP API Топ 10.
 
Плус, ќе зборуваме за најдобрите практики за обезбедување на вашите API.

Што е API Economy?

Економијата на API се појавува кога API ќе станат дел од организациски модел.
 
API беа стратешки овозможувачи за неколку онлајн бизнис модели. 
 
Амазон, на пример, е повеќе од интернет трговец на мало, тој е исто така популарен трговски портал.
 
Платформата на Амазон се надоврзува на API кои овозможуваат лесно вклучување на нови трговци. 
 
Банките со децении ги засноваа платежните инфраструктури и клириншките куќи на добро дефинирани API.
 
API треба да бидат составен дел од вашата деловна стратегија.

Безбедност на веб API

Веб API-ите ја поврзуваат клиентската страна на апликацијата со серверот.
 
Безбедноста на Web API вклучува, но не е ограничена на контрола на пристап и приватност. 
 
Напад на апликација може да ја заобиколи апликацијата од страна на клиентот и да се фокусира на API-ите.
 
Микросервисите често користат API бидејќи се достапни преку јавни мрежи.
 
API-ите можат да бидат чувствителни на инциденти од типот на DDOS за одбивање на услугата. 
 
REST API Security наспроти SOAP API Security 
 
Постојат два главни типа на имплементации на API:
 
  1. REST (Препрезентативен државен трансфер). 
 
      2. SOAP (Simple Object Access Protocol).

REST API безбедност

Шифрирањето за безбедност на транспортниот слој (TLS) поддржува преку REST API, кои комуницираат преку HTTP.
 
TLS шифрира и проверува за да се осигура дека ниту една трета страна не може да ги чита испратените податоци.
 
Хакери кои се обидуваат да ја украдат вашата кредитна картичка информации нема да има пристап до вашите податоци. 
 
REST API користат JavaScript Object Notation (JSON). Побрзо е да се користат REST API од SOAP API. Тие не треба да чуваат податоци, што ги прави поефикасни.

SOAP API, безбедност

SOAP API-те обезбедуваат вграден безбедносен механизам наречен Безбедност на веб услуги (WS Security). Тие ја проверуваат автентикацијата и овластувањето. Тие користат XML шифрирање, XML потписи и SAML токени.

SOAP е вистинскиот пристап за стандардизирање и шифрирање на веб-услугите. САПУН е подобра алтернатива од ОСТАНОК. 

SOAP се ограничува на XML, но REST може да управува со кој било формат на податоци. JSON е полесен за разбирање од XML. Употребата на REST за транспорт на податоци заштедува пари на трошоците за компјутерска инфраструктура.

Управување со API

Управувањето со API им помага на бизнисите да ги направат своите дигитални ресурси. 

Подолу се дадени неколку начини за управување со безбедноста на API:

1. Автентикација

Основната автентикација на HTTP е метод за автентикација на клиентот со API Gateway.

2. Автентикација на OAuth2.0

Стандардниот механизам за авторизација е OAuth 2.0.
 
Рамката за авторизација OAuth 2.0 дозволува трета страна да добие ограничен пристап до услугата HTTP.
 
Ова функционира така што овозможува апликацијата од трета страна да добие пристап во свое име. 
 
 Во контекст на тековите за автентикација на OAuth, постојат неколку различни опции.
 
Поддржаните текови на OAuth вклучуваат:
 
  • Тек на лозинка за корисничко име: каде што програмата има директен пристап до корисничките ингеренции.
 
  • Тек на веб-серверот: каде што серверот може да ја заштити тајната на потрошувачот.
 
  • Проток на кориснички агент: се користи од апликации кои не можат да ја складираат тајната на потрошувачите.
 
Во автентикацијата OAuth2.0, корисникот ќе испрати ингеренции во телото на барањето. Како основна автентикација, но и воведување токени. Жетоните се складираат на страната на серверот. Истиот токен ја повикува услугата многу пати додека не истече. Корисниците можат да се освежат за да го добијат новиот.
 
Проблемот е што овој метод произведува повеќе токени. Истечените токени на серверот ќе го зголемат оптоварувањето на серверот.

3. JSON Web Token Authentication

JWT Token е JSON објект и base64 кодиран и потпишан со споделен клуч. JWT гарантира дека само дефиниран корисник може да генерира единствен токен. JWT не се шифрирани. Секој што има пристап до токенот ќе ги добие податоците.

Придобивки од JWT

  • Токенот ги содржи сите информации потребни за автентикација на корисникот.
  • Лесно е да се избегне потпирање на централизирани сервери за автентикација и бази на податоци.
  • Верификацијата повлекува испитување на потписот и неколку други фактори.
  •  JWT е токен со среден животен век со датум на истекување наведен од неколку недели до подолг
  • Приспособливоста на современиот хардвер на веб-серверот е лесна…

4. HTTP потписи

Во JWT, заглавието за овластување е кодирано и потпишано со base64. Ако некој го добие JWT токенот и барањето, може да го ажурира телото за барање HTTP. HTTP Signatures му овозможува на клиентот да ја потпише HTTP пораката. Значи, тие други можат да го допрат барањето на мрежата.

Amazon, Facebook и Google користат HTTP Signatures. Во 2016 година, потпишувањето HTTP пораки стапи во пракса. Тоа е нова спецификација за работа во тек. Според оваа спецификација, придобивките од потпишувањето на HTTP пораката, за целите на интегритетот на пораката од крај до крај. Клиентот може да се автентицира со истиот механизам без потреба од многу циклуси.

Разбирање на безбедносните пропусти на API

OWASP отсекогаш бил главен авторитет за најчестите и подмолни безбедносни проблеми кои се наоѓаат во софтверот што го користиме секојдневно, и сето тоа е поткрепено со богати податоци.

Ако постои некоја основна линија за која треба да се стремат организациите, тоа е освојување на ова Топ 10 за безбедност на OWASP API наведени подолу.

OWASP API SECURITY TOP 1O

API1: Овластување на ниво на скршен објект

API2: Скршена автентикација

API3: Прекумерна изложеност на податоци

API4: Недостаток на ресурси и ограничување на стапката

API5: Скршена функција Ниво Auth

API6: Масовна задача

API7: Погрешно конфигурирање на безбедноста

API8: Инјектирање

API9: Неправилно управување со средства

API10: Недоволно евидентирање и следење

НАЈДОБРИ ПРАКТИКИ ЗА БЕЗБЕДНОСТ API

Еве некои од најчестите начини за подобрување на безбедноста на API:

 

  1. Утврдете ги вашите ранливости. 

 

Постои потреба да се ажурираат оперативниот систем, мрежата и компонентите на API. Побарајте недостатоци што може да им овозможат на напаѓачите да добијат пристап до вашите API. Sniffers откриваат безбедносни проблеми и следат протекување податоци.

 

  1. Ставете ја квотата и гаснењето.

 

Поставете квота за тоа колку често се јавуваат вашите API и проверете ја употребата во историјата. Злоупотребата на API обично се прикажува со скок во повиците. 

 

  1. Користете API портал за да се поврзете со вашиот API. 

 

Портите на API се примарна точка за извршување за сообраќајот на API. Тоа ќе ви овозможи да контролирате и анализирате како се автентицираат вашите API.

 

  1. Користете токени.

 

Создадете доверливи идентитети. Користете токени со тие идентитети за да го контролирате пристапот до услугите и ресурсите.

 

  1. Користете шифрирање и дигитални потписи.

 

Шифрирајте ги вашите податоци користејќи TLS. Користете дигитални потписи за да потврдите дека само овластени лица имаат пристап и уредување на податоците.

 

  1. Фокус на безбедноста.

 

API-ите никогаш не треба да се сметаат за случајни. Организациите ќе изгубат многу со неуспехот да обезбедат API-и. Како резултат на тоа, поставете ја безбедноста приоритет и вклучете ја во вашите API.

 

  1. Потврдете го влезот.

 

Никогаш не пренесувајте податоци до крајна точка преку API без претходно да го потврдите.

 

  1. Искористете го ограничувањето на стапката. 

 

Ограничувањето на тогашните барања може да помогне во спречување на напади со одбивање на услугата.

 

  1. Користете силен систем за автентикација и авторизација. 

 

Кога API-ите не спроведуваат автентикација, се случува скршена автентикација.

Користете технологии за најавување и овластување кои се добро воспоставени, како што се OAuth2.0 и OpenID Connect.

Заклучок

Ги разгледавме Топ 10 пропусти за безбедност на OWASP API за подобра заштита на API.
 
Можеме да управуваме со управувањето со ризикот користејќи добро воспоставени техники за автентикација и авторизација.
 
На пример, HTTP Signatures, кои ги користат Amazon, Facebook и Google.
 
Ги разгледавме другите најдобри практики на API, вклучувајќи употреба на токени и шифрирање.
 
Ги допревме и дигиталните потписи, како и важноста на валидацијата на влезот.
 
Прочитајте ја нашата статија за Најдобрите практики за безбедност на API во 2022 за повеќе информации за OWASP API Security Top 10.
Гугл и митот за инкогнито

Гугл и митот за инкогнито

Април 10, 2024 Нема коментари

Google и митот за инкогнито На 1 април 2024 година, Google се согласи да ја реши тужбата со уништување на милијарди записи со податоци собрани од режимот Инкогнито.

Прочитај повеќе "

Услуги

Нашата компанија

Нашата адреса

Hailbytes

9511 Queens Guard Ct.

Лорел, MD 20723

Телефон: (732) 771-9995

Е-пошта: info@hailbytes.com

решенија

ЧПП за безбедност

Социјални медиуми