Ny vulnerability API OATH ambony indrindra
Loharanon'ny OATH API: Intro
Raha resaka fitrandrahana dia ny API no toerana tsara indrindra hanombohana. API ny fidirana matetika dia misy ampahany telo. Ny mpanjifa dia omena mari-pamantarana avy amin'ny Mpizara Fanomezana, izay mandeha miaraka amin'ny API. Ny API dia mahazo mari-pamantarana fidirana avy amin'ny mpanjifa ary mampihatra ny lalànan'ny fanomezan-dàlana manokana mifototra amin'izany.
Ny fampiharana rindrambaiko maoderina dia mora voan'ny loza isan-karazany. Tohizo ny hafainganam-pandeha amin'ny fanararaotana farany sy ny lesoka fiarovana; Ilaina ny fananana mari-pamantarana ho an'ireo vulnerability ireo mba hiantohana ny fiarovana ny fampiharana alohan'ny hitrangan'ny fanafihana. Miantehitra hatrany amin'ny protocol OAuth ny fampiharana an'ny antoko fahatelo. Ny mpampiasa dia hanana traikefa tsara kokoa amin'ny ankapobeny, ary koa ny fidirana haingana kokoa sy ny fanomezan-dàlana, noho io teknolojia io. Mety ho azo antoka kokoa noho ny fanomezan-dàlana mahazatra izany satria tsy mila manambara ny mombamomba azy amin'ny rindranasa an'ny antoko fahatelo ny mpampiasa mba hidirana amin'ny loharano iray. Na dia azo antoka sy azo antoka aza ny protocol, ny fomba fampiharana azy dia mety hamela anao hanafika.
Rehefa mamolavola sy mampiantrano API, ity lahatsoratra ity dia mifantoka amin'ny vulnerabilities OAuth mahazatra, ary koa ny fanalefahana fiarovana isan-karazany.
Fanomezana alalana amin'ny haavon'ny zavatra tapaka
Misy sehatra fanafihana midadasika raha voahitsakitsaka ny fanomezan-dàlana satria manome fidirana amin'ny zavatra ny API. Satria tsy maintsy amarinina ny entana azo idirana amin'ny API, ilaina izany. Ampiharo ny fanamarinana fahazoan-dàlana amin'ny sehatra amin'ny alàlan'ny vavahadin'ny API. Ireo izay manana fahazoan-dàlana mifanaraka amin'izany ihany no tokony avela hiditra.
Fanamarinana mpampiasa tapaka
Ny famantarana tsy nahazoana alalana dia fomba iray hafa matetika ahafahan'ny mpanafika mahazo fidirana amin'ny API. Mety ho voajirika ny rafitra fanamarinana, na mety hipoitra diso ny fanalahidin'ny API. Ny mari-pamantarana fanamarinana dia mety ho ampiasain'ny hackers hahazoana fidirana. Hamarino ny olona raha azo itokisana, ary ampiasao ny tenimiafina matanjaka. Miaraka amin'ny OAuth, afaka mihoatra ny fanalahidin'ny API fotsiny ianao ary mahazo fidirana amin'ny angonao. Tokony hieritreritra foana ny fomba hidiranao sy hivoahanao amin'ny toerana iray ianao. OAuth MTLS Sender Constrained Tokens dia azo ampiasaina miaraka amin'ny Mutual TLS mba hiantohana fa ny mpanjifa dia tsy manao fihetsika tsy mety ary mampita famantarana amin'ny antoko tsy mety rehefa miditra amin'ny milina hafa.
Fampiroboroboana ny API:
Exposure data be loatra
Tsy misy teritery amin'ny isan'ny teboka farany mety havoaka. Matetika, tsy ny endri-javatra rehetra no azon'ny mpampiasa rehetra. Amin'ny fampiharihariana angon-drakitra bebe kokoa noho ny tena ilaina dia mampidi-doza ny tenanao sy ny hafa. Fadio ny manambara saropady vaovao mandra-pahatongan'ny tena ilaina. Ny mpamorona dia afaka mamaritra hoe iza no afaka miditra amin'ny inona amin'ny alàlan'ny fampiasana OAuth Scopes sy Claims. Ny fitakiana dia mety hamaritra hoe ampahany amin'ny angona azon'ny mpampiasa idirana. Ny fanaraha-maso ny fidirana dia azo atao tsotra sy mora kokoa ny mitantana amin'ny fampiasana rafitra manara-penitra manerana ny API rehetra.
Tsy fahampian'ny loharanon-karena & famerana ny tahan'ny
Matetika ny satroka mainty dia mampiasa fanafihana denial-of-service (DoS) ho fomba mahery vaika handresena ny mpizara iray ary hampihena ny ora fiasana ho aotra. Raha tsy misy famerana ny loharano azo antsoina, ny API dia mora voan'ny fanafihana mandreraka. 'Mampiasa vavahady API na fitaovana fitantanana, azonao atao ny mametraka famerana ny tahan'ny API. Ny sivana sy ny pagination dia tokony hampidirina, ary koa ny valiny voarara.
Disconfiguration ny rafitra fiarovana
Ny toro-làlana momba ny fiarovana samihafa dia feno tanteraka, noho ny mety hisian'ny tsy fetezana fiarovana. Mety hanimba ny fiarovana ny sehatra misy anao ny zavatra kely maromaro. Mety hahita fampahalalana saro-pady nalefa ho valin'ny fanontaniana diso, ohatra, ny satroka mainty misy tanjona miafina.
Fanendrena faobe
Satria tsy voafaritra ampahibemaso ny teboka iray dia tsy midika izany fa tsy azon'ny mpamorona idirana. Ny API miafina dia mety ho voasakantsakan'ny mpijirika avy hatrany ary amboarin'ny hackers. Jereo ity ohatra fototra ity, izay mampiasa Token'ny Bearer misokatra amin'ny API "tsy miankina". Amin'ny lafiny iray, ny antontan-taratasy ho an'ny daholobe dia mety misy ho an'ny zavatra natao manokana ho an'ny fampiasana manokana. Ny fampahalalam-baovao mibaribary dia mety ampiasain'ny satroka mainty mba tsy hamakiana fotsiny fa hanodinkodinana ny toetran'ny zavatra. Eritrereto ny tenanao ho mpijirika rehefa mikaroka ireo teboka malemy amin'ny fiarovanao ianao. Avelao ihany izay manana zo mety hiditra amin'izay naverina. Mba hampihenana ny vulnerability, ferana ny fonosana valin'ny API. Ny mpamaly dia tsy tokony hampiditra rohy izay tsy tena ilaina.
API nasondrotra:
Fitantanana fananana tsy mety
Ankoatra ny fampitomboana ny vokatra ho an'ny mpamorona, ny dikan-teny sy ny antontan-taratasy ankehitriny dia tena ilaina ho an'ny fiarovana anao manokana. Miomàna amin'ny fampidirana dikan-teny vaovao sy ny fanafoanana ny API taloha ela be. Mampiasà API vaovao fa aza avela ho ampiasaina foana ny antitra. Ny fanoritsoritana API dia azo ampiasaina ho loharanom-pahamarinana voalohany ho an'ny antontan-taratasy.
tsindrona
Ny API dia mora voan'ny tsindrona, fa toy izany koa ny apps developer an'ny antoko fahatelo. Ny kaody ratsy dia azo ampiasaina hamafa angon-drakitra na hangalatra fampahalalana tsiambaratelo, toy ny tenimiafina sy laharan'ny carte de crédit. Ny lesona manan-danja indrindra azo alaina amin'izany dia ny tsy miankina amin'ny fikandrana default. Ny fitantananao na ny mpamatsy vavahady dia tokony hahafeno ny filanao manokana. Ny hafatra diso dia tsy tokony ahitana fampahalalana saro-pady. Mba hisorohana ny angon-drakitra momba ny maha-izy azy tsy hivoaka ivelan'ny rafitra dia tokony hampiasaina amin'ny marika ny Pseudonyms Pairwise. Izany dia miantoka fa tsy misy mpanjifa afaka miara-miasa hamantatra mpampiasa iray.
Tsy ampy ny logging sy ny fanaraha-maso
Rehefa misy fanafihana dia mitaky paikadin'ny fanehoan-kevitra voahevitra tsara ny ekipa. Mbola hitrandraka hatrany ny vulnerability nefa tsy ho tratra ny mpamorona raha tsy misy rafitra fanaraha-maso azo antoka sy azo antoka, izay hampitombo ny fatiantoka sy hanimba ny fomba fijerin'ny vahoaka ny orinasa. Manaova paikady fanaraha-maso API henjana sy paikady fitiliana amin'ny vokatra. Ireo mpanandrana satroka fotsy izay mahita vulnerabilité aloha dia tokony hahazo valisoa amin'ny teti-bola. Ny lalan'ny log dia azo hatsaraina amin'ny fampidirana ny mombamomba ny mpampiasa amin'ny fifanakalozana API. Ataovy azo antoka fa voazaha amin'ny fampiasana data Access Token ny sosona rehetra amin'ny maritrano API anao.
Famaranana
Ny mpanao mari-trano amin'ny sehatra dia mety hampitaovana ny rafitra misy azy ireo mba hitazonana dingana iray alohan'ny mpanafika amin'ny alàlan'ny fanarahana ny fepetra vulnerability napetraka. Satria ny API dia mety manome fahafahana miditra amin'ny fampahalalana azo fantarina manokana (PII), ny fitazonana ny fiarovana ny serivisy toy izany dia tena zava-dehibe ho an'ny fitoniana ny orinasa sy ny fanarahana ny lalàna toy ny GDPR. Aza mandefa mari-pamantarana OAuth mivantana amin'ny API iray raha tsy mampiasa vavahadin'ny API sy ny Phantom Token Approach.
API nasondrotra:
