API Security Checklist

繁中版 | 简中版 | العربية | Azərbaycan | বাংলা | Катала | Чештина | Deutsch | Ελληνικά | Эспаньол | فارسی | Français | हिंदी | Индонезия | Итальянский | 日本語 | 한국어 | ພາສາລາວ | МАКЕДОНСКИЙ | മലയാളം | МОНГОЛ | Недерлендс | Полски | Португас (Бразиль) | Ррусский | ไทย | Тюркч | Ukraїnsaka | Tiếng việt | БЕГАРСКИЙ

Контрольный список наиболее важных контрмеров безопасности при проектировании, тестировании и выпуске вашего API.

• Не используйте Basic Auth . Вместо этого используйте стандартную аутентификацию (например, JWT).
• Не изобретайте колесо в Authentication , token generation , password storage . Используйте стандарты.
• Используйте функции Max Retry и тюрьмы в входе в систему.
• Используйте шифрование на всех конфиденциальных данных.

• Используйте случайный сложный ключ ( JWT Secret ), чтобы сделать грубую токен очень жестким.
• Не извлекайте алгоритм из заголовка. Принуждайте алгоритм в бэкэнде ( HS256 или RS256 ).
• Сделайте токен истечение ( TTL , RTTL ) как можно короче.
• Не храните конфиденциальные данные в полезной нагрузке JWT, их можно легко декодировать.
• Избегайте хранения слишком большого количества данных. JWT обычно используется в заголовках, и они имеют ограничение размера.

• Ограничьи запросы (дросселирование), чтобы избежать атак DDOS / BRUTE FORCE.
• Используйте HTTPS на стороне сервера с TLS 1.2+ и защищены шифры, чтобы избежать MITM (человек в средней атаке).
• Используйте заголовок HSTS с SSL, чтобы избежать атак SSL Strip.
• Выключите списки каталогов.
• Для частных API -интерфейсов разрешить доступ только от SafeListered IPS/хостов.

• Всегда проверяйте сервер redirect_uri , чтобы разрешить только URL-адреса безопасности.
• Всегда старайтесь обмениваться на код, а не токены (не разрешайте response_type=token ).
• Используйте параметр state со случайным хэшем, чтобы предотвратить CSRF в процессе авторизации OAuth.
• Определите область по умолчанию и проверьте параметры объема для каждого приложения.

• Используйте правильный метод HTTP в соответствии с операцией: GET (read) , POST (create) , PUT/PATCH (replace/update) и DELETE (to delete a record) и ответьте с помощью 405 Method Not Allowed , если запрошенный метод ISN Это подходит для запрошенного ресурса.
• Проверьте content-type по запросу принять заголовок (согласование контента), чтобы разрешить только ваш поддерживаемый формат (например, application/xml , application/json и т. Д.) И ответьте 406 Not Acceptable ответом, если не соответствует.
• Проверяйте content-type размещенных данных по мере принятия (например, application/x-www-form-urlencoded , multipart/form-data , application/json и т. Д.).
• Проверьте пользовательский ввод, чтобы избежать общих уязвимостей (например, XSS , SQL-Injection , Remote Code Execution и т. Д.).
• Не используйте какие -либо конфиденциальные данные ( credentials , Passwords , security tokens или API keys ) в URL, но используйте стандартный заголовок авторизации.
• Используйте только шифрование на стороне сервера.
• Используйте услугу API Gateway, чтобы обеспечить кэширование, политики ограничения скорости (например, Quota , Spike Arrest или Concurrent Rate Limit ) и динамически развернуть ресурсы API.

• Проверьте, защищены ли все конечные точки за аутентификацию, чтобы избежать сломанного процесса аутентификации.
• Следует избегать идентификатора собственного ресурса. Используйте /me/orders вместо /user/654321/orders .
• Не автоматические идентификаторы. Вместо этого используйте UUID .
• Если вы анализируете данные XML, убедитесь, что анализ субъекта не включена, чтобы избежать XXE (атака внешней сущности XML).
• Если вы анализируете XML, YAML или любой другой язык с якорями и ссылками, убедитесь, что расширение сущности не может избежать Billion Laughs/XML bomb через экспоненциальную атаку расширения организации.
• Используйте CDN для загрузки файлов.
• Если вы имеете дело с огромным количеством данных, используйте работников и очереди, чтобы обработать как можно больше в фоновом режиме и быстрое ответное ответом, чтобы избежать блокировки HTTP.
• Не забудьте выключить режим отладки.
• Используйте неисполнимые стеки, когда доступно.

• Отправить X-Content-Type-Options: nosniff Header.
• Отправить X-Frame-Options: deny заголовка.
• Отправить Content-Security-Policy: default-src 'none' Заголовок.
• Удалить заголовки отпечатков пальцев- X-Powered-By , Server , X-AspNet-Version и т. Д.
• Принуждайте content-type для вашего ответа. Если вы возвращаете application/json , то ваш ответ content-type application/json .
• Не возвращайте конфиденциальные данные, такие как credentials , passwords или security tokens .
• Верните правильный код состояния в соответствии с выполненной операцией. (Например, 200 OK , 400 Bad Request , 401 Unauthorized , 405 Method Not Allowed и т. Д.).

• Проверьте свой дизайн и реализацию с помощью охвата тестов модуля/интеграции.
• Используйте процесс проверки кода и игнорируйте самооценку.
• Убедитесь, что все компоненты ваших услуг статически сканируются AV Software, прежде чем выдвигать производство, включая библиотеки поставщиков и другие зависимости.
• Непрерывно запустите тесты безопасности (статический/динамический анализ) в вашем коде.
• Проверьте свои зависимости (как программное обеспечение, так и ОС) на предмет известных уязвимостей.
• Разработайте решение для развертывания.

• Используйте централизованные логины для всех услуг и компонентов.
• Используйте агенты для мониторинга всех трафика, ошибок, запросов и ответов.
• Используйте оповещения о SMS, Slack, Email, Telegram, Kibana, Cloudwatch и т. Д.
• Убедитесь, что вы не регистрируете какие -либо конфиденциальные данные, такие как кредитные карты, пароли, выводы и т. Д.
• Используйте идентификаторы и/или систему IPS для мониторинга ваших запросов и экземпляров API.

• Yosriady/API-Development-Tools-коллекция полезных ресурсов для построения RESTFUL HTTP+JSON API.

Не стесняйтесь вносить свой вклад, разбив этот репозиторий, внесло некоторые изменения и отправив запросы на притяжение. По любым вопросам напишите нам по электронной почте по адресу [email protected] .