API Security Checklist

繁中版 | 简中版 | العرف | Azərbaycan | বাংলা | كاتال | čština | Deutsch | ελληνικά | español | فaarsی | فرانسايس | हिंदी | إندونيسيا | الإيطالي | 日本語 | 한국어 | ພາສາລາວ | македонвمس | മലയാളം | монгол | Nederlands | بولسكي | البرتغالية (برازيل) | рсتمر | ไทย | Türkçe | українвمس | tiếng việt | ъъареки

قائمة مرجعية لأهم تدابير مضادة للأمن عند تصميم واختبار وتصوير واجهة برمجة التطبيقات الخاصة بك.

• لا تستخدم Basic Auth . استخدم المصادقة القياسية بدلاً من ذلك (على سبيل المثال ، JWT).
• لا تعيد اختراع العجلة في Authentication ، token generation ، password storage . استخدم المعايير.
• استخدم ميزات Max Retry and Jail في تسجيل الدخول.
• استخدم التشفير على جميع البيانات الحساسة.

• استخدم مفتاحًا معقدًا عشوائيًا ( JWT Secret ) لجعل الغاشمة يجبر الرمز المميز بشدة.
• لا تستخرج الخوارزمية من الرأس. إجبار الخوارزمية في الواجهة الخلفية ( HS256 أو RS256 ).
• اجعل انتهاء الصلاحية الرمزية ( TTL ، RTTL ) أقصر قدر الإمكان.
• لا تقم بتخزين البيانات الحساسة في حمولة JWT ، يمكن فك تشفيرها بسهولة.
• تجنب تخزين الكثير من البيانات. عادة ما تتم مشاركة JWT في الرؤوس ولديها حد حجم.

• الحد من الطلبات (الاختناق) لتجنب هجمات DDOS / الغاشمة.
• استخدم HTTPS على جانب الخادم مع TLS 1.2+ وأصفاد آمنة لتجنب MITM (رجل في الهجوم المتوسط).
• استخدم رأس HSTS مع SSL لتجنب هجمات SSL.
• قم بإيقاف تشغيل قوائم الدليل.
• لواجهة برمجة التطبيقات الخاصة ، السماح للوصول فقط من IPS/المضيفين المنقوسين.

• تحقق دائمًا من صحة redirect_uri من جانب خادم للسماح فقط بعناوين URL التي تم تسويتها.
• حاول دائمًا تبادل الكود وليس الرموز (لا تسمح response_type=token ).
• استخدم معلمة state مع تجزئة عشوائية لمنع CSRF في عملية ترخيص OAuth.
• تحديد النطاق الافتراضي ، والتحقق من صحة المعلمات لكل تطبيق.

• استخدم طريقة HTTP المناسبة وفقًا للعملية: GET (read) ، POST (create) ، PUT/PATCH (replace/update) ، DELETE (to delete a record) ، والاستجابة مع 405 Method Not Allowed إذا كانت الطريقة المطلوبة isn 'ر المناسب للموارد المطلوبة.
• التحقق من صحة content-type عند الطلب قبول رأس (مفاوضات المحتوى) للسماح فقط بتنسيقك المدعوم (على سبيل المثال ، application/xml ، application/json ، إلخ) والرد مع 406 Not Acceptable إذا لم تكن متطابقة.
• التحقق من صحة content-type البيانات المنشورة عند قبول (على سبيل المثال ، application/x-www-form-urlencoded ، multipart/form-data ، application/json ، إلخ).
• التحقق من صحة مدخلات المستخدم لتجنب نقاط الضعف الشائعة (على سبيل المثال ، XSS ، SQL-Injection ، Remote Code Execution ، إلخ).
• لا تستخدم أي بيانات حساسة (بيانات credentials Passwords أو security tokens أو API keys ) في عنوان URL ، ولكن استخدم رأس التفويض القياسي.
• استخدم تشفير جانب الخادم فقط.
• استخدم خدمة Gateway API لتمكين التخزين المؤقت ، أو سياسات الحد الأقصى للمعدل (على سبيل المثال ، Quota ، أو Spike Arrest ، أو Concurrent Rate Limit ) ونشر موارد واجهات برمجة التطبيقات بشكل ديناميكي.

• تحقق مما إذا كانت جميع نقاط النهاية محمية خلف المصادقة لتجنب عملية المصادقة المكسورة.
• يجب تجنب معرف المورد الخاص بالمستخدم. استخدام /me/orders بدلاً من /user/654321/orders .
• لا تقم بتعريفات التقييم التلقائي. استخدم UUID بدلاً من ذلك.
• إذا كنت تقوم بتحليل بيانات XML ، فتأكد من عدم تمكين تحليل الكيان لتجنب XXE (هجوم كيان خارجي XML).
• إذا كنت تقوم بتحليل XML أو YAML أو أي لغة أخرى مع مراس ومراسات ، فتأكد من تمكين توسيع الكيان لتجنب Billion Laughs/XML bomb عبر هجوم التوسع في الكيان الأسي.
• استخدم CDN لتحميل الملفات.
• إذا كنت تتعامل مع كمية هائلة من البيانات ، فاستخدم العمال وقوائم الانتظار لمعالجة أكبر قدر ممكن في الخلفية وإعادة الاستجابة بسرعة لتجنب حظر HTTP.
• لا تنسى إيقاف تشغيل وضع التصحيح.
• استخدم مداخن غير قابلة للتنفيذ عند توفرها.

• أرسل X-Content-Type-Options: nosniff .
• أرسل X-Frame-Options: deny Header.
• إرسال Content-Security-Policy: default-src 'none' .
• قم بإزالة رؤوس البصمات- X-Powered-By ، Server ، X-AspNet-Version ، إلخ.
• قوة content-type لاستجابتك. إذا قمت بإرجاع application/json ، فإن استجابة content-type الخاصة بك هي application/json .
• لا تُرجع بيانات حساسة مثل credentials أو passwords أو security tokens .
• إرجاع رمز الحالة المناسب وفقًا للعملية المكتملة. (على سبيل المثال ، 200 OK ، 400 Bad Request ، 401 Unauthorized ، 405 Method Not Allowed ، إلخ).

• مراجعة التصميم والتنفيذ مع تغطية اختبارات الوحدة/التكامل.
• استخدم عملية مراجعة التعليمات البرمجية وتجاهل الموافقة الذاتية.
• تأكد من مسح جميع مكونات خدماتك بشكل ثابت بواسطة AV Software قبل الضغط على الإنتاج ، بما في ذلك مكتبات البائعين وغيرها من التبعيات.
• قم بتشغيل اختبارات الأمان بشكل مستمر (تحليل ثابت/ديناميكي) على الكود الخاص بك.
• تحقق من تبعياتك (كل من البرنامج ونظام التشغيل) من أجل نقاط الضعف المعروفة.
• تصميم حل التراجع للنشر.

• استخدم تسجيلات تسجيلات مركزية لجميع الخدمات والمكونات.
• استخدم الوكلاء لمراقبة جميع حركة المرور والأخطاء والطلبات والردود.
• استخدم التنبيهات للرسائل القصيرة ، الركود ، البريد الإلكتروني ، البرقية ، الكيبانا ، CloudWatch ، إلخ.
• تأكد من أنك لا تقوم بتسجيل أي بيانات حساسة مثل بطاقات الائتمان وكلمات المرور والدبابيس ، إلخ.
• استخدم نظام IDS و/أو IPS لمراقبة طلبات API وحالاتها.

• أدوات YosriAdy/API-Development-مجموعة من الموارد المفيدة لبناء واجهات برمجة تطبيقات HTTP+JSON المريحة.

لا تتردد في المساهمة من خلال رفع هذا المستودع ، وإجراء بعض التغييرات ، وتقديم طلبات السحب. لأي أسئلة ، أسقط لنا رسالة بريد إلكتروني على [email protected] .