Application Programming Interface (API) je platforma, na které aplikace komunikují. API jsou rozšířená a hrají zásadní roli v mnoha moderních softwarových architekturách.
Zabezpečení API je způsob prevence nebo zmírnění útoků na rozhraní API. Rozhraní API jsou zranitelná vůči útokům, které mají v úmyslu narušit aplikaci nebo získat citlivá data.
API mají mnoho zranitelných míst. Patří mezi ně nefunkční ověřování, omezení rychlosti a neoprávněné vložení kódu. Chyby zabezpečení, jako je tato, mohou ohrozit výkon vaší aplikace a integritu jejích dat. Naštěstí existují osvědčené postupy, které můžete použít k zajištění spolehlivého zabezpečení API.
1. Ověřit
Ať už pracujete s REST, SOAP nebo GraphQL, ověřování API je životně důležité. Autentizace je proces ověření identity uživatele před tím, než bude mít přístup do systému.
Autentizace se posunula od pouhého používání hesel
vícefaktorové autentizační procesy (MFA). MFA zajišťuje, že uživatel před přístupem ke svému účtu dokončí více než jednu ověřovací kontrolu.Nejběžnější MFA je dvoufázové ověření, což do značné míry snižuje hrozby. Vyžaduje další metody ověřování, jako je kód odeslaný na telefonní číslo nebo e-mailový účet.
Dvoufázový proces snižuje šance, že kdokoli získá přístup k systému. Pokud nemají přístup k druhému ověřovacímu kódu, nebudou mít přístup.
2. Využijte OAuth
OAuth je výkonný způsob kontroly zabezpečení API. Jedná se o otevřený protokol, který jednoduchým a standardním způsobem zabezpečuje autorizaci z webových, mobilních a desktopových aplikací.
Jedná se o tokenový autentizační rámec, který řídí přístup k API. OAuth umožňuje přístup třetích stran k informacím bez odhalení přihlašovacích údajů uživatele.
3. Ověřit vstup
Validace dat zahrnuje typovou kontrolu příchozích dat. Tato praxe pomáhá chránit se před útoky, jako je vkládání kódu nebo skriptování mezi weby.
Měli byste vytvořit kontroly ověření dat ve všech koncových bodech. Tyto kontroly zahrnují ověření syntaxe a hodnoty dat, která API obdrží.
Některé běžné metody ověření vstupu zahrnují:
- Ověřovací schémata JSON a XML
- Regulární výrazy
- Kontrola datových typů
- Nejmenší a největší rozsah hodnot pro čísla
- Nejmenší a největší délky pro struny
Ověření vstupu zabrání vašemu rozhraní API v přijímání škodlivých dat do vašeho systému. Rámec Django REST má vynikající funkce, které vám pomohou ověřit váš vstup API.
Své API můžete otestovat pomocí vstupního fuzzingu. Fuzzing testuje náhodná data proti API, dokud nezjistíte bezpečnostní problém. Zabezpečené rozhraní API vrátí chybovou zprávu, pokud obsahuje data, která nejsou standardní.
4. Použijte omezení sazby
Omezení rychlosti je způsob, jak chránit server, když je příliš mnoho požadavků. Zabraňuje přetížení a vypínání serveru.
Omezení rychlosti chrání vaši aplikaci před útoky, jako je odmítnutí služby (DoS). Jak API získávají více uživatelů, jsou náchylnější k takovým útokům. Útoky DoS ovlivňují výkon vaší aplikace nebo ji dokonce zhroutí.
S omezením rychlosti mají uživatelé přístup pouze k určitému počtu požadavků v naplánovaném čase. Rozhraní API zablokuje přístup uživatelů do další relace, pokud překročí svůj nastavený limit.
Můžete například nastavit limit požadavků na zpravodajský web na 1 000 požadavků za hodinu. Když uživatel překročí tento limit, neuvidí ve zdroji aplikace žádné nové položky. Žádosti se poté obnoví po uplynutí časového limitu.
Omezení sazby se také hodí, když chcete zpeněžit API. Můžete mít kategorie pro uživatele s různými limity sazeb. To může povzbudit lidi, aby platili více, pokud potřebují podat větší počet žádostí.
5. Filtrovat data
Rozhraní API by měla sdílet pouze požadovaná data. Své API můžete otestovat pomocí náhodných dat a zkontrolovat, jaký druh dat vrací. Zajistěte, aby nebyly odhaleny bezpečnostní informace, jako jsou klíče API nebo hesla.
Poskytněte dostatek koncových bodů pro různé druhy dat. To uživatelům umožní přístup ke konkrétním informacím, které potřebují, a zabrání načítání irelevantních dat z databáze.
Existuje několik způsobů, jak filtrovat data ve volání API. Nejjednodušší je použít parametry URL. Základní filtrování můžete provádět filtrováním názvů vlastností.
Parametry však mohou filtrovat pouze přesné shody. Pokud potřebujete poskytnout složitější shody, budete muset poskytnout alternativní metody.
6. Použijte bránu API
API brána může poskytovat vylepšené zabezpečení, monitorování a celkovou správu API. Slouží jako centrální bod pro veškerý provoz API. Brána je umístěna mezi uživateli a backendem aplikace.
Brána API autorizuje a ověřuje provoz. Má také kontrolu nad tím, jak používáte rozhraní API. Brána identifikuje zranitelná místa v síti, komponentách, ovladačích a operačním systému.
Kamera Gateways hlásí slabá místa API a detekuje narušení dat. Mohou také upozornit na zranitelná místa a identifikovat místa, kde se pravděpodobně vyskytnou bezpečnostní hrozby.
7. Zabránit vložení kódu
Ochrana vašeho API proti chybám vkládání kódu je životně důležitá. Vkládání kódu zahrnuje přenos dat do interpretu z nedůvěryhodného zdroje. To může být pomocí příkazu nebo databázového dotazu.
Kybernetičtí útočníci mohou odesílat škodlivá data, aby manipulovali s interpretem API. Data mohou být příkazy pro manipulaci se systémem. Stejně tak se mohou dotazovat na citlivá data, aniž by museli projít potřebnou autorizací.
Zranitelnosti API, jako jsou nesprávné kontroly ověřování dat, zvyšují šance na útoky. Jako vývojář zvažte provedení následujících kontrol v kódu:
- Omezte počet povolených znaků, například pomocí regulárních výrazů.
- Mít standardní datový formát.
- Zadejte typ a množství očekávaných dat.
Zabránění vkládání kódu může pomoci vytvořit spolehlivý rámec kybernetické bezpečnosti. Útočníci budou mít problém manipulovat nebo extrahovat data z vaší aplikace.
Proč zvážit doporučené postupy zabezpečení API?
S rostoucím používáním API jsou kybernetické hrozby stále častější. Je důležité sledovat, testovat a spravovat zabezpečení vašeho API. Tento postup zajišťuje bezpečnost vašich dat a softwaru.
Měli byste upřednostnit zabezpečení API vedle bezpečnostních opatření pro celou aplikaci. Identifikujte zranitelná místa a řešte je pomocí řádných bezpečnostních kontrol.
Využití zabezpečení API optimalizuje výkon vaší aplikace. Pomáhá identifikovat a zmírňovat narušení bezpečnosti bez drahých nástrojů a softwaru. Identifikuje také zranitelnosti systému, čímž zabraňuje budoucím útokům.