API Security Checklist

繁中版 | 简中版 | العر sil hac. | Azərbaycan | বাংলা | Català | Čeština | Deutsch | Ελληνικά | Español | فارسی | Français | हिंदी | Indonesia | Italiano | 日本語 | 한국어 | ພາສາລາວ | Македонски | മലയാളം | Мнгол | Nederlands | Polski | Português (Brasil) | Русий | ไทย | Türkçe | Українська | Tiếng việt | Ългарски

Lista de verificación de las contramedidas de seguridad más importantes al diseñar, probar y liberar su API.

• No use Basic Auth . Use la autenticación estándar en su lugar (por ejemplo, JWT).
• No reinvierta la rueda en Authentication , token generation , password storage . Use los estándares.
• Use Max Retry y las funciones de la cárcel en el inicio de sesión.
• Use el cifrado en todos los datos confidenciales.

• Use una clave complicada aleatoria ( JWT Secret ) para hacer que el forzamiento bruto sea muy difícil.
• No extraiga el algoritmo del encabezado. Forzar el algoritmo en el backend ( HS256 o RS256 ).
• Haga que la expiración del token ( TTL , RTTL ) lo sea lo más corto posible.
• No almacene datos confidenciales en la carga útil JWT, se puede decodificar fácilmente.
• Evite almacenar demasiados datos. JWT generalmente se comparte en encabezados y tienen un límite de tamaño.

• Limite las solicitudes (estrangulamiento) para evitar los ataques de DDOS / fuerza bruta.
• Use HTTPS en el lado del servidor con TLS 1.2+ y asegure los cifrados para evitar MITM (hombre en el ataque medio).
• Use el encabezado HSTS con SSL para evitar ataques con SSL.
• Apague los listados de directorio.
• Para API privadas, permita el acceso solo desde IP/hosts SafeListed.

• Valide siempre el lado del servidor redirect_uri para permitir solo URL de seguridad.
• Siempre intente intercambiar el código y no los tokens (no permita response_type=token ).
• Use el parámetro state con un hash aleatorio para evitar CSRF en el proceso de autorización de OAuth.
• Defina el alcance predeterminado y valide los parámetros del alcance para cada aplicación.

• Use el método HTTP adecuado de acuerdo con la operación: GET (read) , POST (create) , PUT/PATCH (replace/update) y DELETE (to delete a record) y responder con 405 Method Not Allowed si el método solicitado ISN ISN 'T apropiado para el recurso solicitado.
• Valide el encabezado de aceptación de content-type (negociación de contenido) para permitir solo su formato compatible (por ejemplo, application/xml , application/json , etc.) y responder con 406 Not Acceptable si no se corresponde.
• Valide content-type de los datos publicados como acepta (por ejemplo, application/x-www-form-urlencoded , multipart/form-data , application/json , etc.).
• Valide la entrada del usuario para evitar vulnerabilidades comunes (por ejemplo, XSS , SQL-Injection , Remote Code Execution , etc.).
• No use ningún datos confidenciales ( credentials , Passwords , security tokens o API keys ) en la URL, pero use el encabezado de autorización estándar.
• Use solo el cifrado del lado del servidor.
• Use un servicio de puerta de enlace API para habilitar el almacenamiento en caché, las políticas de límite de tarifas (por ejemplo, Quota , Spike Arrest o Concurrent Rate Limit ) e implementar recursos de API dinámicamente.

• Compruebe si todos los puntos finales están protegidos detrás de la autenticación para evitar el proceso de autenticación roto.
• Se debe evitar la identificación de recursos de usuario. Use /me/orders en lugar de /user/654321/orders .
• No se realicen identificaciones de incremento automático. Use UUID en su lugar.
• Si está analizando datos XML, asegúrese de que el análisis de la entidad no esté habilitado para evitar XXE (ataque de entidad externa XML).
• Si está analizando XML, YAML o cualquier otro idioma con anclajes y referencias, asegúrese de que la expansión de la entidad no esté habilitada para evitar Billion Laughs/XML bomb a través del ataque exponencial de expansión de la entidad.
• Use un CDN para cargas de archivos.
• Si está tratando con una gran cantidad de datos, use trabajadores y colas para procesar lo más posible en el fondo y devolver la respuesta rápidamente para evitar el bloqueo de HTTP.
• No olvide desactivar el modo de depuración.
• Use pilas no ejecutables cuando estén disponibles.

• Enviar X-Content-Type-Options: nosniff .
• Enviar X-Frame-Options: deny el encabezado.
• Enviar Content-Security-Policy: default-src 'none' .
• Eliminar los encabezados de huellas dactilares: X-Powered-By , Server , X-AspNet-Version , etc.
• Force content-type para su respuesta. Si devuelve application/json , entonces su respuesta content-type es application/json .
• No devuelva datos confidenciales como credentials , passwords o security tokens .
• Devuelva el código de estado adecuado de acuerdo con la operación completada. (por ejemplo, 200 OK , 400 Bad Request , 401 Unauthorized , 405 Method Not Allowed , etc.).

• Audite su diseño e implementación con cobertura de pruebas de unidad/integración.
• Use un proceso de revisión de código y no tenga en cuenta la auto-aprobación.
• Asegúrese de que todos los componentes de sus servicios sean escaneados estáticamente por AV Software antes de presionar a la producción, incluidas las bibliotecas de proveedores y otras dependencias.
• Ejecute continuamente pruebas de seguridad (análisis estático/dinámico) en su código.
• Verifique sus dependencias (tanto el software como el sistema operativo) por las vulnerabilidades conocidas.
• Diseñe una solución de reversión para implementaciones.

• Use inicios de sesión centralizados para todos los servicios y componentes.
• Use agentes para monitorear todo el tráfico, errores, solicitudes y respuestas.
• Use alertas para SMS, Slack, correo electrónico, Telegram, Kibana, CloudWatch, etc.
• Asegúrese de no registrar ningún datos confidenciales como tarjetas de crédito, contraseñas, alfileres, etc.
• Use un sistema IDS y/o IPS para monitorear sus solicitudes e instancias de API.

• Las herramientas de yosriady/API-desarrollo: una colección de recursos útiles para construir API HTTP+JSON RESTful.

Siéntase libre de contribuir bifurcando este repositorio, haciendo algunos cambios y enviando solicitudes de extracción. Para cualquier pregunta, envíenos un correo electrónico a [email protected] .