API Security Checklist

繁中版 | 简中版 | العربية | Azərbaycan | বাংলা | Català | Čeština | Deutsch | Ελληνικacion | Español | فار liv | Français | हिंदी | Indonésia | Italiano | 日本語 | 한국어 | ພາສາລາວ | Ма Ítens | മലയാളം | Монгоtur | Nederlands | Polski | Português (Brasil) | Р рйий | ไทย | Türkçe | Você é | Tiếng việt | Български

Lista de verificação das contramedidas de segurança mais importantes ao projetar, testar e liberar sua API.

• Não use Basic Auth . Use a autenticação padrão (por exemplo, JWT).
• Não reinvente a roda em Authentication , token generation , password storage . Use os padrões.
• Use Max Retry e os recursos da prisão no login.
• Use criptografia em todos os dados confidenciais.

• Use uma chave complicada aleatória ( JWT Secret ) para tornar muito difícil forçar o token.
• Não extraia o algoritmo do cabeçalho. Força o algoritmo no back -end ( HS256 ou RS256 ).
• Faça a expiração do token ( TTL , RTTL ) o mais curto possível.
• Não armazene dados confidenciais na carga útil da JWT, ela pode ser decodificada facilmente.
• Evite armazenar muitos dados. O JWT geralmente é compartilhado em cabeçalhos e eles têm um limite de tamanho.

• Solicitações limitadas (aceleração) para evitar ataques de DDoS / Força Bruta.
• Use https no lado do servidor com o TLS 1.2+ e as cifras seguras para evitar o MITM (homem no ataque intermediário).
• Use o cabeçalho HSTS com SSL para evitar ataques de tira SSL.
• Desligue as listagens de diretórios.
• Para APIs privadas, permita o acesso apenas a partir de IPS/hosts em segurança.

• Sempre valide o lado do servidor redirect_uri para permitir apenas URLs em segurança.
• Sempre tente trocar por código e não tokens (não permita response_type=token ).
• Use o parâmetro state com um hash aleatório para impedir o CSRF no processo de autorização do OAuth.
• Defina o escopo padrão e valide parâmetros de escopo para cada aplicativo.

• Use o método HTTP adequado de acordo com a operação: GET (read) , POST (create) , PUT/PATCH (replace/update) e DELETE (to delete a record) e responder com 405 Method Not Allowed se o método solicitado não forn não for. apropriado para o recurso solicitado.
• Valide content-type a pedido, aceite o cabeçalho (negociação de conteúdo) para permitir que apenas o formato suportado (por exemplo, application/xml , application/json , etc.) e responda com 406 Not Acceptable se não for correspondido.
• Valide content-type dos dados publicados conforme você aceita (por exemplo, application/x-www-form-urlencoded , multipart/form-data , application/json , etc.).
• Validar a entrada do usuário para evitar vulnerabilidades comuns (por exemplo, XSS , SQL-Injection , Remote Code Execution , etc.).
• Não use dados confidenciais ( credentials , Passwords , security tokens ou API keys ) no URL, mas use o cabeçalho da autorização padrão.
• Use apenas criptografia do lado do servidor.
• Use um serviço de gateway de API para ativar o armazenamento em cache, avaliar políticas de limite (por exemplo, Quota , Spike Arrest ou Concurrent Rate Limit ) e implantar recursos de APIs dinamicamente.

• Verifique se todos os pontos de extremidade estão protegidos por trás da autenticação para evitar o processo de autenticação quebrada.
• O ID do recurso próprio do usuário deve ser evitado. Use /me/orders em vez de /user/654321/orders .
• Não os IDs de incremento automático. Use UUID em vez disso.
• Se você estiver analisando os dados XML, verifique se a análise da entidade não poderá evitar XXE (XML EXTILD ENTITY ATITY).
• Se você estiver analisando XML, YAML ou qualquer outro idioma com âncoras e árbitros, verifique se a expansão da entidade não pode evitar Billion Laughs/XML bomb por meio de ataque de expansão de entidades exponenciais.
• Use um CDN para uploads de arquivo.
• Se você estiver lidando com uma enorme quantidade de dados, use trabalhadores e filas para processar o máximo possível em segundo plano e a resposta de retorno rapidamente para evitar o bloqueio de HTTP.
• Não se esqueça de desligar o modo de depuração.
• Use pilhas não executáveis, quando disponíveis.

• Envie X-Content-Type-Options: nosniff Header.
• Envie X-Frame-Options: deny cabeçalho.
• Enviar Content-Security-Policy: default-src 'none' .
• Remova os cabeçalhos da impressão digital- X-Powered-By , Server , X-AspNet-Version , etc.
• Força content-type para sua resposta. Se você retornar application/json , sua resposta content-type será application/json .
• Não retorne dados confidenciais, como credentials , passwords ou security tokens .
• Retorne o código de status adequado de acordo com a operação concluída. (por exemplo, 200 OK , 400 Bad Request , 401 Unauthorized , 405 Method Not Allowed , etc.).

• Audite seu design e implementação com a cobertura dos testes de unidade/integração.
• Use um processo de revisão de código e desconsidere a auto-aprovação.
• Certifique -se de que todos os componentes de seus serviços sejam digitalizados estaticamente pelo software AV antes de pressionar para a produção, incluindo bibliotecas de fornecedores e outras dependências.
• Execute os testes de segurança continuamente (análise estática/dinâmica) em seu código.
• Verifique suas dependências (software e SO) quanto a vulnerabilidades conhecidas.
• Projete uma solução de reversão para implantações.

• Use logins centralizados para todos os serviços e componentes.
• Use agentes para monitorar todo o tráfego, erros, solicitações e respostas.
• Use alertas para SMS, folga, e -mail, telegrama, Kibana, CloudWatch, etc.
• Certifique -se de que você não está registrando dados confidenciais, como cartões de crédito, senhas, pinos etc.
• Use um sistema IDS e/ou IPS para monitorar suas solicitações e instâncias da API.

• Toolas de desenvolvimento de Yosriady/API-uma coleção de recursos úteis para a criação de APIs RESTful HTTP+JSON.

Sinta -se à vontade para contribuir com o bimling deste repositório, fazendo algumas alterações e enviando solicitações de tração. Para qualquer dúvida, envie -nos um e -mail em [email protected] .