API Security Checklist

繁中版 | 简中版 | العرvonة | Azərbaycan | বাংলা | Català | Čeština | Deutsch | Ελληνικά | Español | فارسی | Français | हिंदी | Indonesien | Italiano | 日本語 | 한국어 | ພາສາລາວ | Македонски | മലയാളം | Мнгол | Nederlands | Polski | Português (Brasil) | Русский | ไทย | Türkçe | Ураїнська | Tiếng việt | ЪъUNIna

Checkliste der wichtigsten Sicherheitsprüfungen beim Entwerfen, Testen und Freigeben Ihrer API.

• Verwenden Sie nicht Basic Auth . Verwenden Sie stattdessen Standardauthentifizierung (z. B. JWT).
• Erfinden Sie das Rad nicht in Authentication , token generation , password storage . Verwenden Sie die Standards.
• Verwenden Sie Max Retry und Gefängnisfunktionen in Login.
• Verwenden Sie die Verschlüsselung für alle sensiblen Daten.

• Verwenden Sie einen zufälligen komplizierten Schlüssel ( JWT Secret ), um Brute zu machen, was das Token sehr hart erzwingt.
• Extrahieren Sie den Algorithmus nicht aus dem Header. Erzwingen Sie den Algorithmus im Backend ( HS256 oder RS256 ).
• Machen Sie die Token -Ablauf ( TTL , RTTL ) so kurz wie möglich.
• Speichern Sie keine sensiblen Daten in der JWT -Nutzlast, sie kann leicht dekodiert werden.
• Vermeiden Sie es, zu viele Daten zu speichern. JWT wird normalerweise in Header geteilt und sie haben eine Größenbeschränkung.

• Begrenzen Sie Anfragen (Drosselung), um DDOs / Brute-Force-Angriffe zu vermeiden.
• Verwenden Sie HTTPS auf der Serverseite mit TLS 1.2+ und sichern Ciphers, um MITM (Mann im mittleren Angriff) zu vermeiden.
• Verwenden Sie HSTS -Header mit SSL, um SSL -Streifenangriffe zu vermeiden.
• Schalten Sie die Verzeichnislisten aus.
• Ermöglichen Sie für private APIs den Zugriff nur von Safelisted IPS/Hosts.

• Überprüfen Sie immer die serverseitige redirect_uri -Seite, um nur safelistierte URLs zu ermöglichen.
• Versuchen Sie immer, gegen Code und keine Token auszutauschen (erlauben Sie keine response_type=token ).
• Verwenden Sie den state mit einem zufälligen Hash, um CSRF im OAuth -Autorisierungsprozess zu verhindern.
• Definieren Sie den Standardbereich und validieren Sie die Parameter der Bereiche für jede Anwendung.

• Verwenden Sie die ordnungsgemäße HTTP -Methode gemäß dem Operation: GET (read) , POST (create) , PUT/PATCH (replace/update) und DELETE (to delete a record) und antworten Sie mit 405 Method Not Allowed ist 'T für die angeforderte Ressource angemessen.
• Validieren Sie content-type auf Anfrage, die Header (Inhaltsverhandlung) akzeptieren, um nur Ihr unterstütztes Format (z. B. application/xml , application/json usw.) zuzulassen, und antworten Sie mit 406 Not Acceptable Antwort, wenn sie nicht übereinstimmt.
• Validieren Sie content-type von veröffentlichten Daten, wie Sie akzeptieren (z. B. application/x-www-form-urlencoded , multipart/form-data , application/json usw.).
• Validieren Sie die Benutzereingabe, um häufige Schwachstellen zu vermeiden (z. B. XSS , SQL-Injection , Remote Code Execution usw.).
• Verwenden Sie in der URL keine sensiblen Daten ( credentials , Passwords , security tokens oder API keys ), sondern verwenden Sie den Standard -Autorisierungsheader.
• Verwenden Sie nur die serverseitige Verschlüsselung.
• Verwenden Sie einen API -Gateway -Service, um Caching, Ratengrenze (z. B. Quota , Spike Arrest oder Concurrent Rate Limit ) zu ermöglichen und APIS -Ressourcen dynamisch bereitzustellen.

• Überprüfen Sie, ob alle Endpunkte hinter der Authentifizierung geschützt sind, um einen kaputten Authentifizierungsprozess zu vermeiden.
• Benutzer eigene Ressourcen -ID sollte vermieden werden. Verwendung /me/orders anstelle von /user/654321/orders .
• IDs nicht automatisch inkrementiert. Verwenden Sie stattdessen UUID .
• Wenn Sie XML -Daten analysieren, stellen Sie sicher, dass die Analyse der Entität nicht aktiviert ist, um XXE (XML External Entity Attack) zu vermeiden.
• Wenn Sie XML, YAML oder eine andere Sprache mit Ankern und Schiedsrichtern analysieren, stellen Sie sicher, dass die Erweiterung der Entität nicht über eine exponentielle Entitätserweiterung Billion Laughs/XML bomb vermieden wird.
• Verwenden Sie eine CDN für Datei -Uploads.
• Wenn Sie mit einer großen Datenmenge zu tun haben, verwenden Sie Arbeitnehmer und Warteschlangen, um im Hintergrund so viel wie möglich zu verarbeiten und die Antwort schnell zurückzugeben, um die HTTP -Blockierung zu vermeiden.
• Vergessen Sie nicht, den Debug -Modus auszuschalten.
• Verwenden Sie bei verfügbaren nicht ausführbaren Stapeln.

• Senden Sie X-Content-Type-Options: nosniff Header.
• Senden Sie X-Frame-Options: deny .
• Senden Sie Content-Security-Policy: default-src 'none' Header.
• Entfernen Sie Fingerabdruck-Header- X-Powered-By , Server , X-AspNet-Version usw.
• Erzwingen Sie content-type für Ihre Antwort. Wenn Sie application/json zurückgeben, ist Ihre content-type application/json .
• Geben Sie keine sensiblen Daten wie credentials , passwords oder security tokens zurück.
• Geben Sie den richtigen Statuscode gemäß der abgeschlossenen Operation zurück. (zB 200 OK , 400 Bad Request , 401 Unauthorized , 405 Method Not Allowed usw.).

• Prüfen Sie Ihr Design und Ihre Implementierung mit Abdeckung von Einheiten/Integrationstests.
• Verwenden Sie einen Code-Überprüfungsprozess und ignorieren die Selbstverträglichkeit.
• Stellen Sie sicher, dass alle Komponenten Ihrer Dienste statisch mit AV -Software gescannt werden, bevor sie in die Produktion drängen, einschließlich Anbieterbibliotheken und anderer Abhängigkeiten.
• Durch kontinuierliche Sicherheitstests (statische/dynamische Analyse) in Ihrem Code.
• Überprüfen Sie Ihre Abhängigkeiten (Software und Betriebssystem) auf bekannte Schwachstellen.
• Entwerfen Sie eine Rollback -Lösung für Bereitstellungen.

• Verwenden Sie zentrale Anmeldungen für alle Dienste und Komponenten.
• Verwenden Sie Agenten, um alle Verkehr, Fehler, Anfragen und Antworten zu überwachen.
• Verwenden Sie Warnungen für SMS, Slack, E -Mail, Telegramm, Kibana, Cloudwatch usw.
• Stellen Sie sicher, dass Sie keine sensiblen Daten wie Kreditkarten, Passwörter, Pins usw. protokollieren.
• Verwenden Sie ein IDS- und/oder IPS -System, um Ihre API -Anfragen und -Anwegen zu überwachen.

• YOSRIADY/API-Entwicklungs-Tools-Eine Sammlung nützlicher Ressourcen zum Aufbau von Rastful HTTP+JSON APIs.

Fühlen Sie sich frei, um diesen Repository zu beitragen, einige Änderungen vorzunehmen und Pull -Anfragen einzureichen. Für Fragen geben Sie uns eine E -Mail an [email protected] .