Başlıca OATH API Güvenlik Açıkları
Başlıca OATH API Güvenlik Açıkları: Giriş
Açıklardan yararlanma söz konusu olduğunda, API'ler başlamak için en iyi yerdir. API erişim genellikle üç bölümden oluşur. İstemcilere, API'lerle birlikte çalışan bir Yetkilendirme Sunucusu tarafından belirteçler verilir. API, istemciden erişim belirteçleri alır ve bunlara dayalı olarak etki alanına özgü yetkilendirme kurallarını uygular.
Modern yazılım uygulamaları çeşitli tehlikelere karşı savunmasızdır. En son açıklardan yararlanma ve güvenlik açıkları konusunda hızınızı koruyun; Bu güvenlik açıkları için kıyaslamalara sahip olmak, bir saldırı gerçekleşmeden önce uygulama güvenliğini sağlamak için çok önemlidir. Üçüncü taraf uygulamaları, OAuth protokolüne giderek daha fazla güveniyor. Kullanıcılar, bu teknoloji sayesinde daha iyi bir genel kullanıcı deneyiminin yanı sıra daha hızlı oturum açma ve yetkilendirmeye sahip olacak. Kullanıcıların belirli bir kaynağa erişmek için kimlik bilgilerini üçüncü taraf uygulamasıyla ifşa etmesi gerekmediğinden, geleneksel yetkilendirmeden daha güvenli olabilir. Protokolün kendisi güvenli olsa da uygulanma şekli sizi saldırıya açık bırakabilir.
Bu makale, API'leri tasarlarken ve barındırırken, tipik OAuth güvenlik açıklarının yanı sıra çeşitli güvenlik azaltmalarına odaklanmaktadır.
Bozuk Nesne Düzeyinde Yetkilendirme
API'ler nesnelere erişim sağladığından, yetkilendirme ihlal edilirse geniş bir saldırı yüzeyi vardır. API ile erişilebilen öğelerin kimliğinin doğrulanması gerektiğinden, bu gereklidir. Bir API ağ geçidi kullanarak nesne düzeyinde yetkilendirme kontrolleri uygulayın. Yalnızca uygun izin kimlik bilgilerine sahip olanların erişmesine izin verilmelidir.
Bozuk Kullanıcı Kimlik Doğrulaması
Yetkisiz belirteçler, saldırganların API'lere erişim elde etmesinin başka bir sık kullanılan yoludur. Kimlik doğrulama sistemleri saldırıya uğrayabilir veya yanlışlıkla bir API anahtarı açığa çıkabilir. Kimlik doğrulama belirteçleri olabilir bilgisayar korsanları tarafından kullanılan erişim elde etmek için. Kişilerin kimliklerini yalnızca güvenilir olmaları durumunda doğrulayın ve güçlü parolalar kullanın. OAuth ile yalnızca API anahtarlarının ötesine geçebilir ve verilerinize erişebilirsiniz. Bir yere nasıl girip çıkacağınızı her zaman düşünmelisiniz. OAuth MTLS Gönderen Kısıtlı Belirteçleri, istemcilerin yanlış davranmamasını ve diğer makinelere erişirken belirteçleri yanlış tarafa geçirmemesini garanti etmek için Karşılıklı TLS ile birlikte kullanılabilir.
API Promosyonu:
Aşırı Veri Maruziyeti
Yayınlanabilecek uç noktaların sayısında herhangi bir kısıtlama yoktur. Çoğu zaman, tüm özellikler tüm kullanıcılar tarafından kullanılamaz. Kesinlikle gerekli olandan daha fazla veriyi ifşa ederek kendinizi ve başkalarını tehlikeye atmış olursunuz. Hassas bilgileri ifşa etmekten kaçının bilgi kesinlikle gerekli olana kadar. Geliştiriciler, OAuth Kapsamlarını ve Taleplerini kullanarak kimin neye erişimi olduğunu belirleyebilir. Talepler, bir kullanıcının verilerin hangi bölümlerine erişebileceğini belirtebilir. Erişim kontrolü, tüm API'lerde standart bir yapı kullanılarak daha basit ve daha kolay yönetilebilir hale getirilebilir.
Kaynak Eksikliği ve Hız Sınırlaması
Siyah şapkalar genellikle hizmet reddi (DoS) saldırılarını bir sunucuyu ezmek ve böylece çalışma süresini sıfıra indirmek için kaba kuvvet yolu olarak kullanır. Çağrılabilecek kaynaklar üzerinde herhangi bir kısıtlama olmaksızın, bir API zayıflatıcı bir saldırıya karşı savunmasızdır. Bir API ağ geçidi veya yönetim aracı kullanarak, API'ler için hız kısıtlamaları belirleyebilirsiniz. Filtreleme ve sayfalandırmanın yanı sıra yanıtların kısıtlanması da dahil edilmelidir.
Güvenlik Sisteminin Yanlış Konfigürasyonu
Farklı güvenlik yapılandırma yönergeleri, önemli güvenlik yanlış yapılandırma olasılığı nedeniyle oldukça kapsamlıdır. Bazı küçük şeyler platformunuzun güvenliğini tehlikeye atabilir. Örnek olarak, gizli amaçlarla siyah şapkaların hatalı biçimlendirilmiş sorgulara yanıt olarak gönderilen hassas bilgileri keşfetmesi mümkündür.
Toplu Atama
Bir uç noktanın genel olarak tanımlanmamış olması, geliştiriciler tarafından erişilemeyeceği anlamına gelmez. Gizli bir API, bilgisayar korsanları tarafından kolayca ele geçirilebilir ve tersine mühendislik uygulanabilir. "Özel" bir API'de açık bir Taşıyıcı Token kullanan bu temel örneğe bir göz atın. Öte yandan, yalnızca kişisel kullanıma yönelik bir şey için kamuya açık belgeler mevcut olabilir. Açığa çıkan bilgiler, siyah şapkalar tarafından yalnızca nesne özelliklerini okumak için değil, aynı zamanda nesne özelliklerini değiştirmek için de kullanılabilir. Savunmanızdaki potansiyel zayıf noktaları ararken kendinizi bir bilgisayar korsanı olarak kabul edin. İade edilenlere yalnızca uygun haklara sahip kişilerin erişmesine izin verin. Güvenlik açığını en aza indirmek için API yanıt paketini sınırlayın. Katılımcılar kesinlikle gerekli olmayan herhangi bir bağlantı eklememelidir.
Tanıtılan API:
Uygunsuz Varlık yönetimi
Geliştirici üretkenliğini geliştirmenin yanı sıra, mevcut sürümler ve belgeler kendi güvenliğiniz için çok önemlidir. Yeni sürümlerin tanıtımına ve eski API'lerin kullanımdan kaldırılmasına çok önceden hazırlanın. Eski API'lerin kullanımda kalmasına izin vermek yerine daha yeni API'ler kullanın. Bir API Spesifikasyonu, dokümantasyon için birincil doğruluk kaynağı olarak kullanılabilir.
Enjeksiyon
API'ler enjeksiyona karşı savunmasızdır, ancak üçüncü taraf geliştirici uygulamaları da öyledir. Kötü amaçlı kod, verileri silmek veya şifreler ve kredi kartı numaraları gibi gizli bilgileri çalmak için kullanılabilir. Bundan çıkarılacak en önemli ders, varsayılan ayarlara bağlı kalmamaktır. Yönetim veya ağ geçidi tedarikçiniz, benzersiz uygulama ihtiyaçlarınızı karşılayabilmelidir. Hata mesajları hassas bilgiler içermemelidir. Kimlik verilerinin sistem dışına sızmasını önlemek için jetonlarda Çift Yönlü Takma Adlar kullanılmalıdır. Bu, hiçbir müşterinin bir kullanıcıyı tanımlamak için birlikte çalışmamasını sağlar.
Yetersiz Kayıt ve İzleme
Bir saldırı gerçekleştiğinde ekiplerin iyi düşünülmüş bir tepki stratejisine ihtiyacı vardır. Geliştiriciler, güvenilir bir günlük kaydı ve izleme sistemi yoksa yakalanmadan güvenlik açıklarından yararlanmaya devam edecek, bu da kayıpları artıracak ve halkın şirket hakkındaki algısına zarar verecektir. Sıkı bir API izleme ve üretim uç noktası testi stratejisi benimseyin. Güvenlik açıklarını erkenden bulan beyaz şapkalı test uzmanları bir ödül programı ile ödüllendirilmelidir. Günlük izi, kullanıcının kimliğini API işlemlerine dahil ederek iyileştirilebilir. Access Token verilerini kullanarak API mimarinizin tüm katmanlarının denetlendiğinden emin olun.
Sonuç
Platform mimarları, belirlenen güvenlik açığı kriterlerini izleyerek sistemlerini saldırganlardan bir adım önde olacak şekilde donatabilir. API'ler Kişisel Olarak Tanımlanabilir Bilgilere (PII) erişilebilirlik sağlayabildiğinden, bu tür hizmetlerin güvenliğini sağlamak hem şirket istikrarı hem de GDPR gibi yasalara uyum açısından kritik öneme sahiptir. Bir API Ağ Geçidi ve Phantom Token Yaklaşımı kullanmadan OAuth belirteçlerini asla doğrudan bir API üzerinden göndermeyin.
Tanıtılan API:
