หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

繁中版 | 简中版 | العربية | Azərbaycan | বাংলা | Català | čeština | Deutsch | ελληνικά | Español | فاری | Français | हिंदी | อินโดนีเซีย Italiano | 日本語 | 한국어 | ພາສາລາວ | македонски | മലയാളം | монгол | Nederlands | Polski | Português (Brasil) | руский | ไทย | Türkçe | українська | tiếngviệt | ъгарски

รายการตรวจสอบความปลอดภัย API

รายการตรวจสอบการตอบโต้ความปลอดภัยที่สำคัญที่สุดเมื่อออกแบบทดสอบและปล่อย API ของคุณ

การรับรองความถูกต้อง

  • อย่าใช้ Basic Auth ใช้การรับรองความถูกต้องมาตรฐานแทน (เช่น JWT)
  • อย่าคิดค้นล้อใหม่ใน Authentication token generation password storage ใช้มาตรฐาน
  • ใช้คุณสมบัติ Max Retry และคุกในการเข้าสู่ระบบ
  • ใช้การเข้ารหัสกับข้อมูลที่ละเอียดอ่อนทั้งหมด

JWT (JSON Web Token)

  • ใช้คีย์ที่ซับซ้อนแบบสุ่ม ( JWT Secret ) เพื่อให้เดรัจฉานบังคับให้โทเค็นแข็งมาก
  • อย่าสกัดอัลกอริทึมจากส่วนหัว บังคับอัลกอริทึมในแบ็กเอนด์ ( HS256 หรือ RS256 )
  • ทำให้โทเค็นหมดอายุ ( TTL , RTTL ) ให้สั้นที่สุด
  • อย่าเก็บข้อมูลที่ละเอียดอ่อนใน Payload JWT สามารถถอดรหัสได้อย่างง่ายดาย
  • หลีกเลี่ยงการจัดเก็บข้อมูลมากเกินไป JWT มักจะใช้ร่วมกันในส่วนหัวและมีขนาด จำกัด

เข้าถึง

  • การร้องขอ จำกัด (การควบคุมปริมาณ) เพื่อหลีกเลี่ยงการโจมตี DDOS / Brute-Force
  • ใช้ HTTPS ทางฝั่งเซิร์ฟเวอร์ด้วย TLS 1.2+ และ Secure Ciphers เพื่อหลีกเลี่ยง MITM (Man in the Middle Attack)
  • ใช้ส่วนหัว HSTS กับ SSL เพื่อหลีกเลี่ยงการโจมตีแถบ SSL
  • ปิดรายชื่อไดเรกทอรี
  • สำหรับ API ส่วนตัวอนุญาตให้เข้าถึงได้จาก IPS/โฮสต์ที่ปลอดภัยเท่านั้น

การอนุญาต

Oauth

  • ตรวจสอบ redirect_uri Server เสมอเพื่อให้สามารถใช้ URL ที่ปลอดภัยเท่านั้น
  • พยายามแลกเปลี่ยนรหัสไม่ใช่โทเค็นเสมอ (ไม่อนุญาตให้ response_type=token )
  • ใช้พารามิเตอร์ state ด้วยแฮชแบบสุ่มเพื่อป้องกัน CSRF ในกระบวนการอนุญาต OAUTH
  • กำหนดขอบเขตเริ่มต้นและตรวจสอบพารามิเตอร์ขอบเขตสำหรับแต่ละแอปพลิเคชัน

ป้อนข้อมูล

  • ใช้วิธี HTTP ที่เหมาะสมตามการดำเนินการ: GET (read) , POST (create) , PUT/PATCH (replace/update) และ DELETE (to delete a record) และตอบกลับด้วย 405 Method Not Allowed หากวิธีการร้องขอไม่ได้ ไม่เหมาะสมสำหรับทรัพยากรที่ร้องขอ
  • ตรวจสอบ content-type ตามคำขอ ACCENCTER (การเจรจาต่อรองเนื้อหา) เพื่ออนุญาตเฉพาะรูปแบบที่รองรับของคุณ (เช่น application/xml , application/json ฯลฯ ) และตอบกลับด้วยการตอบกลับ 406 Not Acceptable หากไม่ตรงกัน
  • ตรวจสอบ content-type ของข้อมูลที่โพสต์ตามที่คุณยอมรับ (เช่น application/x-www-form-urlencoded , multipart/form-data , application/json ฯลฯ )
  • ตรวจสอบการป้อนข้อมูลผู้ใช้เพื่อหลีกเลี่ยงช่องโหว่ทั่วไป (เช่น XSS , SQL-Injection , Remote Code Execution ฯลฯ )
  • อย่าใช้ข้อมูลที่ละเอียดอ่อนใด ๆ ( credentials Passwords security tokens หรือ API keys ) ใน URL แต่ใช้ส่วนหัวการอนุญาตมาตรฐาน
  • ใช้เฉพาะการเข้ารหัสฝั่งเซิร์ฟเวอร์
  • ใช้บริการ API Gateway เพื่อเปิดใช้งานการแคช, นโยบายการ จำกัด อัตรา (เช่น Quota , Spike Arrest หรือ Concurrent Rate Limit ) และปรับใช้ทรัพยากร APIS แบบไดนามิก

กำลังประมวลผล

  • ตรวจสอบว่าจุดสิ้นสุดทั้งหมดได้รับการปกป้องเบื้องหลังการตรวจสอบเพื่อหลีกเลี่ยงกระบวนการตรวจสอบความถูกต้องหรือไม่
  • ควรหลีกเลี่ยงรหัสทรัพยากรของผู้ใช้ ใช้ /me/orders แทน /user/654321/orders
  • อย่าใช้รหัสรับอัตโนมัติ ใช้ UUID แทน
  • หากคุณกำลังแยกวิเคราะห์ข้อมูล XML ตรวจสอบให้แน่ใจว่าการแยกวิเคราะห์เอนทิตีไม่ได้เปิดใช้งานเพื่อหลีกเลี่ยง XXE (การโจมตีเอนทิตีภายนอก XML)
  • หากคุณกำลังแยก XML, Yaml หรือภาษาอื่น ๆ ที่มีจุดยึดและอ้างอิงตรวจสอบให้แน่ใจว่าการขยายกิจการไม่ได้เปิดใช้งานเพื่อหลีกเลี่ยง Billion Laughs/XML bomb ผ่านการโจมตีขยายเอนทิตีเลขชี้กำลัง
  • ใช้ CDN สำหรับการอัปโหลดไฟล์
  • หากคุณกำลังจัดการกับข้อมูลจำนวนมากให้ใช้คนงานและคิวเพื่อประมวลผลให้มากที่สุดเท่าที่จะทำได้ในพื้นหลังและตอบกลับอย่างรวดเร็วเพื่อหลีกเลี่ยงการบล็อก HTTP
  • อย่าลืมปิดโหมดการดีบัก
  • ใช้สแต็คที่ไม่สามารถใช้งานได้เมื่อพร้อมใช้งาน

เอาท์พุท

  • ส่ง X-Content-Type-Options: nosniff
  • ส่ง X-Frame-Options: deny ส่วนหัว
  • ส่ง Content-Security-Policy: default-src 'none'
  • ลบส่วนหัวลายนิ้วมือ X-Powered-By , Server , X-AspNet-Version ฯลฯ
  • บังคับ content-type สำหรับการตอบกลับของคุณ หากคุณส่งคืน application/json การตอบกลับ content-type ของคุณคือ application/json
  • อย่าส่งคืนข้อมูลที่ละเอียดอ่อนเช่น credentials passwords หรือ security tokens
  • ส่งคืนรหัสสถานะที่เหมาะสมตามการดำเนินการที่เสร็จสมบูรณ์ (เช่น 200 OK , 400 Bad Request , 401 Unauthorized , 405 Method Not Allowed ฯลฯ )

CI & CD

  • ตรวจสอบการออกแบบและการใช้งานของคุณด้วยการทดสอบหน่วย/การรวมการทดสอบ
  • ใช้กระบวนการตรวจสอบรหัสและไม่สนใจการอนุมัติตนเอง
  • ตรวจสอบให้แน่ใจว่าส่วนประกอบทั้งหมดของบริการของคุณถูกสแกนโดยซอฟต์แวร์ AV แบบคงที่ก่อนที่จะผลักดันการผลิตรวมถึงไลบรารีผู้ขายและการอ้างอิงอื่น ๆ
  • เรียกใช้การทดสอบความปลอดภัยอย่างต่อเนื่อง (การวิเคราะห์แบบคงที่/ไดนามิก) บนรหัสของคุณ
  • ตรวจสอบการพึ่งพาของคุณ (ทั้งซอฟต์แวร์และระบบปฏิบัติการ) สำหรับช่องโหว่ที่รู้จัก
  • ออกแบบโซลูชันการย้อนกลับสำหรับการปรับใช้

การตรวจ

  • ใช้การเข้าสู่ระบบส่วนกลางสำหรับบริการและส่วนประกอบทั้งหมด
  • ใช้ตัวแทนเพื่อตรวจสอบปริมาณการใช้งานข้อผิดพลาดการร้องขอและการตอบกลับทั้งหมด
  • ใช้การแจ้งเตือนสำหรับ SMS, Slack, Email, Telegram, Kibana, CloudWatch ฯลฯ
  • ตรวจสอบให้แน่ใจว่าคุณไม่ได้เข้าสู่ระบบข้อมูลที่ละเอียดอ่อนเช่นบัตรเครดิตรหัสผ่านพิน ฯลฯ
  • ใช้ระบบ ID และ/หรือ IPS เพื่อตรวจสอบคำขอ API และอินสแตนซ์ของคุณ

ดูเพิ่มเติม:

  • Yosriady/API-Development-Tools-ชุดของทรัพยากรที่มีประโยชน์สำหรับการสร้าง HTTP+JSON APIs

ผลงาน

อย่าลังเลที่จะมีส่วนร่วมโดยการหาที่เก็บนี้ทำการเปลี่ยนแปลงบางอย่างและส่งคำขอดึง สำหรับคำถามใด ๆ ส่งอีเมลถึงเราที่ [email protected]

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด