API Security Checklist

繁中版 | 简中版 | العريz | azərbaycan | বাংলা | Català | čeština | 도이치치 | ελληνικά | Español | ف ارس | Français | हिंदी | 인도네시아 | 이탈리아 노 | 日本語 | 한국어 | ພາສາລາວ | македонски | മലയാളം | мон 말 | Nederlands | Polski | 포르투갈 (브라질) | 초 русск고 | ไทย | Türkçe | українська | tiệng viết | 미치고 있습니다

API를 설계, 테스트 및 공개 할 때 가장 중요한 보안 대책의 점검 목록.

• Basic Auth 사용하지 마십시오. 대신 표준 인증을 사용하십시오 (예 : JWT).
• Authentication , token generation , password storage 에서 휠을 재발 명하지 마십시오. 표준을 사용하십시오.
• 로그인시 Max Retry 및 Jail 기능을 사용하십시오.
• 모든 민감한 데이터에 암호화를 사용하십시오.

• 무작위 복잡한 키 ( JWT Secret )를 사용하여 토큰을 매우 어렵게 만듭니다.
• 헤더에서 알고리즘을 추출하지 마십시오. 백엔드 ( HS256 또는 RS256 )에서 알고리즘을 강제로 강제하십시오.
• 가능한 한 짧게 토큰 만료 ( TTL , RTTL )를 만듭니다.
• JWT 페이로드에 민감한 데이터를 저장하지 마십시오. 쉽게 디코딩 할 수 있습니다.
• 너무 많은 데이터를 저장하지 마십시오. JWT는 일반적으로 헤더에서 공유되며 크기 제한이 있습니다.

• DDoS / Brute-Force 공격을 피하기위한 요청 (조절)을 제한합니다.
• TLS 1.2+와 함께 서버 측에서 HTTPS를 사용하고 Ciphers를 고정하여 MITM을 피하십시오 (중간 공격의 사람).
• SSL 스트립 공격을 피하려면 SSL과 함께 HSTS 헤더를 사용하십시오.
• 디렉토리 목록을 끄십시오.
• 개인 API의 경우 안전한 IPS/호스트에서만 액세스 할 수 있습니다.

• 항상 redirect_uri server-side를 확인하여 안전한 URL 만 허용하십시오.
• 항상 토큰이 아닌 코드를 교환하려고 노력하십시오 ( response_type=token 허용하지 않음).
• OAUTH 인증 프로세스에서 CSRF를 방지하기 위해 임의의 해시와 함께 state 매개 변수를 사용하십시오.
• 기본 범위를 정의하고 각 응용 프로그램의 스코프 매개 변수를 확인하십시오.

• 작업에 따라 적절한 HTTP 메소드를 사용하십시오 : GET (read) , POST (create) , PUT/PATCH (replace/update) 및 DELETE (to delete a record) , 요청 된 메소드가 405 Method Not Allowed 로 응답하십시오. 요청 된 자원에 적합합니다.
• 요청시 content-type 확인하십시오 헤더 (콘텐츠 협상)를 수락하여 지원되는 형식 (예 : application/xml , application/json 등) 만 허용하고 일치하지 않으면 406 Not Acceptable 으로 응답하십시오.
• 허용 할 때 게시 된 데이터의 content-type 확인하십시오 (예 : application/x-www-form-urlencoded , multipart/form-data , application/json 등).
• 일반적인 취약점 (예 : XSS , SQL-Injection , Remote Code Execution 등)을 피하기 위해 사용자 입력을 확인하십시오.
• URL에서 민감한 데이터 ( credentials , Passwords , security tokens 또는 API keys )를 사용하지 말고 표준 인증 헤더를 사용하십시오.
• 서버 측 암호화 만 사용하십시오.
• API 게이트웨이 서비스를 사용하여 캐싱, 요율 제한 정책 (예 : Quota , Spike Arrest 또는 Concurrent Rate Limit )을 활성화하고 API 리소스를 동적으로 배포하십시오.

• 깨진 인증 프로세스를 피하기 위해 모든 엔드 포인트가 인증 뒤에 보호되어 있는지 확인하십시오.
• 사용자 자체 리소스 ID를 피해야합니다. /user/654321/orders 대신 /me/orders .
• 자동 점수 ID를 사용하지 마십시오. 대신 UUID 사용하십시오.
• XML 데이터를 구문 분석하는 경우 XXE (XML 외부 엔티티 공격)를 피하기 위해 엔티티 구문 분석이 활성화되지 않도록하십시오.
• XML, YAML 또는 앵커 및 참조로 다른 언어를 구문 분석하는 경우 지수 엔티티 확장 공격을 통해 Billion Laughs/XML bomb 피할 수 있도록 엔티티 확장이 가능하지 않은지 확인하십시오.
• 파일 업로드에 CDN을 사용하십시오.
• 엄청난 양의 데이터를 다루는 경우 작업자와 대기열을 사용하여 백그라운드에서 가능한 한 많이 처리하고 HTTP 차단을 피하기 위해 응답을 빠르게 반환하십시오.
• 디버그 모드를 끄는 것을 잊지 마십시오.
• 사용 가능한 경우 비영행 스택을 사용하십시오.

• X-Content-Type-Options: nosniff 헤더를 보내십시오.
• X-Frame-Options: deny .
• Content-Security-Policy: default-src 'none' 헤더를 보내십시오.
• 지문 헤더 제거 X-Powered-By , Server , X-AspNet-Version 등.
• 응답을 위해 content-type 강제로합니다. application/json 반환하면 content-type 응답은 application/json 입니다.
• credentials , passwords 또는 security tokens 같은 민감한 데이터를 반환하지 마십시오.
• 완료된 작업에 따라 적절한 상태 코드를 반환하십시오. (예 : 200 OK , 400 Bad Request , 401 Unauthorized , 405 Method Not Allowed 등).

• 장치/통합 테스트 범위를 사용하여 설계 및 구현을 감사합니다.
• 코드 검토 프로세스를 사용하고 자기 승인을 무시하십시오.
• 공급 업체 라이브러리 및 기타 종속성을 포함하여 생산을 추진하기 전에 AV 소프트웨어에 의해 서비스의 모든 구성 요소가 정적으로 스캔되도록하십시오.
• 코드에서 보안 테스트 (정적/동적 분석)를 지속적으로 실행하십시오.
• 알려진 취약점에 대한 종속성 (소프트웨어 및 OS)을 확인하십시오.
• 배포를위한 롤백 솔루션을 설계하십시오.

• 모든 서비스 및 구성 요소에 중앙 집중식 로그인을 사용하십시오.
• 에이전트를 사용하여 모든 트래픽, 오류, 요청 및 응답을 모니터링합니다.
• SMS, 슬랙, 이메일, 전보, 키바나, 클라우드 워치 등에 대한 경고를 사용하십시오.
• 신용 카드, 암호, 핀 등과 같은 민감한 데이터를 기록하지 않도록하십시오.
• ID 및/또는 IPS 시스템을 사용하여 API 요청 및 인스턴스를 모니터링하십시오.

• Yosriady/API-Development-Tools- 편안한 HTTP+JSON API를 구축하는 데 유용한 리소스 모음.

이 저장소를 포킹하고, 변경하고, 풀 요청을 제출하여 자유롭게 기여하십시오. 질문이 있으시면 [email protected] 로 이메일을 보내주십시오.