API Security Checklist

繁中版| 簡中版| العربية | azərbaycan| বাংলা| català| čeština|德意志| εληνικά| Español| فف| Français| हिंदी|印度尼西亞| Italiano | 日本語| 한국어| ພາສາລາວ| lim lim | | മലയാളം|聚| Nederlands | Polski |葡萄牙（巴西）| n ไทย| Türkçe| Y時間tiếngviệt| π了

在設計，測試和發布API時，最重要的安全對策清單的清單。

• 不要使用Basic Auth 。改用標準身份驗證（例如JWT）。
• 不要在Authentication ， token generation ， password storage重新發明輪子。使用標準。
• 在登錄中使用Max Retry和監獄功能。
• 在所有敏感數據上使用加密。

• 使用隨機複雜的鑰匙（ JWT Secret ）使野蠻人非常迫使令牌。
• 不要從標題中提取算法。強制後端中的算法（ HS256或RS256 ）。
• RTTL TTL 。
• 不要將敏感數據存儲在JWT有效載荷中，可以輕鬆解碼。
• 避免存儲太多數據。 JWT通常以標頭共享，並且具有尺寸限制。

• 限制請求（節流）以避免DDOS /蠻力攻擊。
• 使用TLS 1.2+的服務器側的HTTPS和安全密碼避免使用MITM（中間攻擊中的人）。
• 使用SSL的HSTS標題避免SSL帶攻擊。
• 關閉目錄列表。
• 對於私有API，僅允許從安全的IP/主機訪問。

• 始終驗證redirect_uri服務器端，以僅允許安全的URL。
• 始終嘗試交換代碼而不代碼（不允許response_type=token ）。
• 使用隨機哈希的state參數來防止在OAUTH授權過程中進行CSRF。
• 定義默認範圍，並為每個應用程序驗證範圍參數。

• 根據操作使用適當的HTTP方法： GET (read) ， POST (create) ， PUT/PATCH (replace/update) ，然後DELETE (to delete a record) ，如果請求的方法為ISN，則405 Method Not Allowed適用於請求的資源。
• 按請求驗證content-type接受標題（內容協商）僅允許您的支持格式（例如， application/xml ， application/json等），並以406 Not Acceptable響應，如果不匹配。
• 在您接受時驗證已發布數據的content-type （例如， application/x-www-form-urlencoded ， multipart/form-data ， application/json等）。
• 驗證用戶輸入以避免常見漏洞（例如， XSS ， SQL-Injection ， Remote Code Execution等）。
• 不要在URL中使用任何敏感數據（ credentials ， Passwords ， security tokens或API keys ），而是使用標準授權標頭。
• 僅使用服務器端加密。
• 使用API​​網關服務啟用緩存，費率限制策略（例如， Quota ， Spike Arrest或Concurrent Rate Limit ）並動態部署APIS資源。

• 檢查所有端點是否在身份驗證背後受到保護，以避免損壞身份驗證過程。
• 用戶自己的資源ID應該避免。使用/me/orders代替/user/654321/orders 。
• 不要自動插入ID。改用UUID 。
• 如果要解析XML數據，請確保無法啟用實體解析以避免XXE （XML外部實體攻擊）。
• 如果您要解析XML，YAML或任何其他具有錨定和裁判的語言，請確保無法通過指數擴展攻擊來避免避免Billion Laughs/XML bomb 。
• 使用CDN進行文件上傳。
• 如果您要處理大量數據，請使用工人和隊列在後台處理盡可能多的處理，并快速返迴響應以避免HTTP阻塞。
• 不要忘記關閉調試模式。
• 可用時使用不可執行的堆棧。

• 發送X-Content-Type-Options: nosniff標頭。
• 發送X-Frame-Options: deny標題。
• 發送Content-Security-Policy: default-src 'none'標頭。
• 刪除指紋標頭 - X-Powered-By ， Server ， X-AspNet-Version等。
• 迫使content-type為您的響應。如果您返回application/json ，則您的content-type響應是application/json 。
• 不要返回credentials ， passwords或security tokens等敏感數據。
• 根據完成的操作返回正確的狀態代碼。 （例如， 200 OK ， 400 Bad Request ， 401 Unauthorized ， 405 Method Not Allowed等）。

• 使用單位/集成測試覆蓋範圍來審核您的設計和實施。
• 使用代碼審核過程並無視自我批准。
• 確保您的服務的所有組件在推入生產之前，都由AV軟件靜態掃描，包括供應商庫和其他依賴關係。
• 連續運行代碼上的安全測試（靜態/動態分析）。
• 檢查您的依賴項（軟件和OS）是否已知漏洞。
• 設計用於部署的回滾解決方案。

• 將集中登錄用於所有服務和組件。
• 使用代理監視所有流量，錯誤，請求和響應。
• 使用SMS，Slack，Email，Telegram，Kibana，CloudWatch等的警報。
• 確保您不會記錄任何敏感數據，例如信用卡，密碼，別針等。
• 使用IDS和/或IPS系統來監視您的API請求和實例。

• Yosriady/API開發工具 - 用於構建REST的HTTP+JSON API的有用資源集合。

通過分配此存儲庫，進行一些更改並提交拉力請求來隨意做出貢獻。無論如何，請給我們發送電子郵件至[email protected] 。