API Security Checklist

繁中版 | 简中版 | العربية | Azərbaycan | বাংলা | Català | Čeština | Deutsch | Ελληνικά | Español | فارسی | Français | हिंदी | Indonesia | Italiano | 日本語 | 한국어 | ພາສາລາວ | Македонски | മലയാളം | Монunda | Nederlands | Polski | Português (Brasil) | Рский | ไทย | Türkçe | Українська | Tiếng việt | Ъългарски

Daftar periksa penanggulangan keamanan terpenting saat merancang, menguji, dan melepaskan API Anda.

• Jangan gunakan Basic Auth . Gunakan otentikasi standar sebagai gantinya (misalnya, JWT).
• Jangan menemukan kembali roda dalam Authentication , token generation , password storage . Gunakan standar.
• Gunakan fitur Max Retry dalam login.
• Gunakan enkripsi pada semua data sensitif.

• Gunakan kunci rumit acak ( JWT Secret ) untuk membuat brute memaksa token menjadi sangat keras.
• Jangan mengekstrak algoritma dari header. Paksa algoritma di backend ( HS256 atau RS256 ).
• Buat Token Expiration ( TTL , RTTL ) sesingkat mungkin.
• Jangan menyimpan data sensitif di payload JWT, dapat didekodekan dengan mudah.
• Hindari menyimpan terlalu banyak data. JWT biasanya dibagikan di header dan mereka memiliki batas ukuran.

• Batasi permintaan (throttling) untuk menghindari serangan DDOS / brute-force.
• Gunakan HTTPS di sisi server dengan TLS 1.2+ dan cipher aman untuk menghindari MITM (Man in the Middle Attack).
• Gunakan header HSTS dengan SSL untuk menghindari serangan strip SSL.
• Matikan daftar direktori.
• Untuk API pribadi, izinkan akses hanya dari IPS/host yang terdaftar.

• Selalu validasi sisi server redirect_uri untuk mengizinkan hanya URL yang disimpan.
• Selalu coba pertukaran kode dan bukan token (jangan mengizinkan response_type=token ).
• Gunakan parameter state dengan hash acak untuk mencegah CSRF pada proses otorisasi OAuth.
• Tentukan ruang lingkup default, dan validasi parameter ruang lingkup untuk setiap aplikasi.

• Gunakan metode HTTP yang tepat sesuai dengan operasi: GET (read) , POST (create) , PUT/PATCH (replace/update) , dan DELETE (to delete a record) , dan merespons dengan 405 Method Not Allowed jika metode yang diminta ISN 'T sesuai untuk sumber daya yang diminta.
• Validasi content-type pada permintaan menerima header (negosiasi konten) untuk hanya mengizinkan format yang didukung Anda (misalnya, application/xml , application/json , dll.) Dan merespons dengan 406 Not Acceptable jika tidak dicocokkan.
• Validasi content-type dari data yang diposting seperti yang Anda terima (misalnya, application/x-www-form-urlencoded , multipart/form-data , application/json , dll.).
• Validasi input pengguna untuk menghindari kerentanan umum (misalnya, XSS , SQL-Injection , Remote Code Execution , dll.).
• Jangan gunakan data sensitif apa pun ( credentials , Passwords , security tokens , atau API keys ) di URL, tetapi gunakan header otorisasi standar.
• Gunakan hanya enkripsi sisi server.
• Gunakan layanan API Gateway untuk mengaktifkan caching, kebijakan batas tingkat (misalnya, Quota , Spike Arrest , atau Concurrent Rate Limit ) dan menggunakan sumber daya API secara dinamis.

• Periksa apakah semua titik akhir dilindungi di balik otentikasi untuk menghindari proses otentikasi yang rusak.
• ID Sumber Daya Sendiri Pengguna harus dihindari. Gunakan /me/orders , bukan /user/654321/orders .
• Jangan ID-Increment Auto. Gunakan UUID sebagai gantinya.
• Jika Anda mem -parsing data XML, pastikan parsing entitas tidak diaktifkan untuk menghindari XXE (serangan entitas eksternal XML).
• Jika Anda mem -parsing XML, YAML atau bahasa lain dengan jangkar dan referensi, pastikan ekspansi entitas tidak diaktifkan untuk menghindari Billion Laughs/XML bomb melalui serangan ekspansi entitas eksponensial.
• Gunakan CDN untuk mengunggah file.
• Jika Anda berurusan dengan data dalam jumlah besar, gunakan pekerja dan antrian untuk memproses sebanyak mungkin di latar belakang dan mengembalikan respons dengan cepat untuk menghindari pemblokiran HTTP.
• Jangan lupa untuk mematikan mode debug.
• Gunakan tumpukan yang tidak dapat dieksekutasi saat tersedia.

• Kirim X-Content-Type-Options: nosniff .
• Kirim X-Frame-Options: deny HEADER.
• Kirim Content-Security-Policy: default-src 'none' .
• Hapus header sidik jari- X-Powered-By , Server , X-AspNet-Version , dll.
• Memaksa content-type untuk tanggapan Anda. Jika Anda mengembalikan application/json , maka respons content-type Anda adalah application/json .
• Jangan mengembalikan data sensitif seperti credentials , passwords , atau security tokens .
• Kembalikan kode status yang tepat sesuai dengan operasi yang diselesaikan. (Misalnya, 200 OK , 400 Bad Request , 401 Unauthorized , 405 Method Not Allowed , dll.).

• Audit desain dan implementasi Anda dengan cakupan unit/integrasi tes.
• Gunakan proses peninjauan kode dan abaikan persetujuan diri.
• Pastikan bahwa semua komponen layanan Anda dipindai secara statis oleh perangkat lunak AV sebelum mendorong produksi, termasuk perpustakaan vendor dan dependensi lainnya.
• Jalankan tes keamanan yang terus menerus (analisis statis/dinamis) pada kode Anda.
• Periksa dependensi Anda (baik perangkat lunak dan OS) untuk kerentanan yang diketahui.
• Rancang solusi rollback untuk penyebaran.

• Gunakan login terpusat untuk semua layanan dan komponen.
• Gunakan agen untuk memantau semua lalu lintas, kesalahan, permintaan, dan tanggapan.
• Gunakan peringatan untuk SMS, Slack, Email, Telegram, Kibana, CloudWatch, dll.
• Pastikan Anda tidak mencatat data sensitif seperti kartu kredit, kata sandi, pin, dll.
• Gunakan sistem IDS dan/atau IPS untuk memantau permintaan dan instance API Anda.

• Yosriady/API-Development-Tools-Kumpulan sumber daya yang berguna untuk membangun HTTP+JSON API yang RESTful.

Jangan ragu untuk berkontribusi dengan membayar repositori ini, membuat beberapa perubahan, dan mengirimkan permintaan tarik. Untuk pertanyaan apa pun, kirimi kami email di [email protected] .