API Security Checklist

繁中版 | 简中版 | العربية | Azərbaycan | বাংলা | Català | Čeština | Deutsch | Ελληνικά | Español | فارسی | Français | हिंदी | Indonésie | Italiano | 日本語 | 한국어 | ພາສາລາວ | Македонски | മലയാളം | Монгол | Nederlands | Polski | Português (Brasil) | Русский | ไทย | Türkçe | Українськ | Tiếng việt | Ългарски

Liste de contrôle des contre-mesures de sécurité les plus importantes lors de la conception, des tests et de la libération de votre API.

• N'utilisez pas Basic Auth . Utilisez plutôt l'authentification standard (par exemple, JWT).
• Ne réinventez pas la roue dans Authentication , token generation , password storage . Utilisez les normes.
• Utilisez les fonctionnalités Max Retry et de prison dans la connexion.
• Utilisez le cryptage sur toutes les données sensibles.

• Utilisez une clé compliquée aléatoire ( JWT Secret ) pour rendre le forage brute le jeton très fort.
• N'extraire pas l'algorithme de l'en-tête. Forcer l'algorithme dans le backend ( HS256 ou RS256 ).
• Rendre l'expiration des jetons ( TTL , RTTL ) aussi court que possible.
• Ne stockez pas de données sensibles dans la charge utile JWT, il peut être décodé facilement.
• Évitez de stocker trop de données. JWT est généralement partagé dans les en-têtes et ils ont une limite de taille.

• Demandes de limite (étranglement) pour éviter les attaques DDOS / force brute.
• Utilisez HTTPS côté serveur avec TLS 1.2+ et sécurisez les chiffres pour éviter le MITM (homme dans l'attaque moyenne).
• Utilisez l'en-tête HSTS avec SSL pour éviter les attaques de bande SSL.
• Désactivez les listes de répertoires.
• Pour les API privées, autorisez l'accès uniquement à des IP / hôtes Safelist.

• Validez toujours le côté serveur redirect_uri pour autoriser uniquement les URL sûrs.
• Essayez toujours d'échanger du code et non des jetons (ne permettez pas response_type=token ).
• Utilisez le paramètre state avec un hachage aléatoire pour empêcher le CSRF sur le processus d'autorisation OAuth.
• Définissez la lunette par défaut et validez les paramètres de portée pour chaque application.

• Utilisez la méthode HTTP appropriée en fonction de l'opération: GET (read) , POST (create) , PUT/PATCH (replace/update) et DELETE (to delete a record) et répondre avec 405 Method Not Allowed si la méthode demandée n'est pas «T approprié pour la ressource demandée.
• Valider content-type sur demande Acceptez l'en-tête (négociation de contenu) pour autoriser uniquement votre format pris en charge (par exemple, application/xml , application/json , etc.) et répondre avec 406 Not Acceptable si elle n'est pas appariée.
• Valider content-type des données publiées comme vous l'acceptez (par exemple, application/x-www-form-urlencoded , multipart/form-data , application/json , etc.).
• Valider l'entrée de l'utilisateur pour éviter les vulnérabilités communes (par exemple, XSS , SQL-Injection , Remote Code Execution , etc.).
• N'utilisez aucune données sensibles ( credentials , Passwords , security tokens ou API keys ) dans l'URL, mais utilisez l'en-tête d'autorisation standard.
• Utilisez uniquement le cryptage côté serveur.
• Utilisez un service API Gateway pour permettre la mise en cache, les politiques de limite de taux (par exemple, Quota , Spike Arrest ou Concurrent Rate Limit ) et déploiez dynamiquement les ressources d'API.

• Vérifiez si tous les points de terminaison sont protégés derrière l'authentification pour éviter le processus d'authentification brisé.
• L'ID de ressource propre utilisateur doit être évité. Utiliser /me/orders au lieu de /user/654321/orders .
• N'intémentez pas les ID d'incrémentation automatique. Utilisez UUID à la place.
• Si vous analysez les données XML, assurez-vous que l'analyse de l'entité n'est pas permis d'éviter XXE (Attaque de l'entité externe XML).
• Si vous analysez XML, YAML ou toute autre langue avec des ancres et des arbitres, assurez-vous que l'expansion de l'entité n'est pas permis d'éviter Billion Laughs/XML bomb via une attaque d'expansion entité exponentielle.
• Utilisez un CDN pour les téléchargements de fichiers.
• Si vous avez affaire à une énorme quantité de données, utilisez les travailleurs et les files d'attente pour traiter autant que possible en arrière-plan et renvoyer une réponse rapidement pour éviter le blocage HTTP.
• N'oubliez pas de désactiver le mode de débogage.
• Utilisez des piles non exécutables lorsque cela est disponible.

• Envoyer X-Content-Type-Options: nosniff .
• Envoyez X-Frame-Options: deny Header.
• Envoyer Content-Security-Policy: default-src 'none' .
• Retirez les en-têtes d'empreintes digitales - X-Powered-By , Server , X-AspNet-Version , etc.
• Forcer content-type pour votre réponse. Si vous retournez application/json , votre réponse content-type est application/json .
• Ne renvoyez pas de données sensibles comme credentials , passwords ou security tokens .
• Renvoyez le code d'état approprié en fonction de l'opération terminée. (Par exemple, 200 OK , 400 Bad Request , 401 Unauthorized , 405 Method Not Allowed , etc.).

• Audit votre conception et votre implémentation avec la couverture des tests unit / intégration.
• Utilisez un processus d'examen de code et ne tiennent pas compte de l'auto-approbation.
• Assurez-vous que tous les composants de vos services sont analysés statiquement par le logiciel AV avant de passer à la production, y compris les bibliothèques des fournisseurs et d'autres dépendances.
• Exécutez en continu des tests de sécurité (analyse statique / dynamique) sur votre code.
• Vérifiez vos dépendances (le logiciel et le système d'exploitation) pour les vulnérabilités connues.
• Concevez une solution en arrière pour les déploiements.

• Utilisez des connexions centralisées pour tous les services et composants.
• Utilisez des agents pour surveiller tout le trafic, les erreurs, les demandes et les réponses.
• Utilisez des alertes pour SMS, Slack, Email, Telegram, Kibana, CloudWatch, etc.
• Assurez-vous de ne pas enregistrer de données sensibles comme les cartes de crédit, les mots de passe, les épingles, etc.
• Utilisez un système IDS et / ou IPS pour surveiller vos demandes et instances d'API.

• YOSRIAD / API-Development-Tools - Une collection de ressources utiles pour construire des API HTTP + JSON RESTful.

N'hésitez pas à contribuer en fournissant ce référentiel, en apportant des modifications et en soumettant des demandes de traction. Pour toute question, envoyez-nous un e-mail à [email protected] .