शीर्ष OATH API भेद्यता
शीर्ष OATH API भेद्यता: परिचय
जेव्हा शोषणाचा विचार केला जातो तेव्हा APIs हे प्रारंभ करण्यासाठी सर्वात मोठे ठिकाण आहे. API प्रवेशामध्ये सहसा तीन भाग असतात. ग्राहकांना अधिकृतता सर्व्हरद्वारे टोकन जारी केले जातात, जे API च्या बाजूने चालते. API ला क्लायंटकडून प्रवेश टोकन प्राप्त होतात आणि त्यावर आधारित डोमेन-विशिष्ट अधिकृतता नियम लागू होतात.
आधुनिक सॉफ्टवेअर ऍप्लिकेशन्स विविध धोक्यांसाठी असुरक्षित आहेत. सर्वात अलीकडील शोषण आणि सुरक्षा त्रुटींवर वेगवान रहा; हल्ला होण्यापूर्वी ऍप्लिकेशन सुरक्षेची खात्री करण्यासाठी या भेद्यतेसाठी बेंचमार्क असणे आवश्यक आहे. तृतीय-पक्ष अनुप्रयोग वाढत्या प्रमाणात OAuth प्रोटोकॉलवर अवलंबून आहेत. या तंत्रज्ञानामुळे वापरकर्त्यांना अधिक चांगला एकूण वापरकर्ता अनुभव, तसेच जलद लॉगिन आणि अधिकृतता मिळेल. हे पारंपारिक अधिकृततेपेक्षा अधिक सुरक्षित असू शकते कारण दिलेल्या स्त्रोतामध्ये प्रवेश करण्यासाठी वापरकर्त्यांना तृतीय-पक्ष अनुप्रयोगासह त्यांची क्रेडेन्शियल उघड करण्याची आवश्यकता नाही. प्रोटोकॉल स्वतःच सुरक्षित आणि सुरक्षित असला तरी, तो ज्या प्रकारे लागू केला जातो तो तुम्हाला आक्रमणासाठी खुला ठेवू शकतो.
एपीआय डिझाइन आणि होस्ट करताना, हा लेख विशिष्ट OAuth भेद्यतेवर तसेच विविध सुरक्षा कमी करण्यावर लक्ष केंद्रित करतो.
खंडित ऑब्जेक्ट स्तर अधिकृतता
APIs ऑब्जेक्ट्समध्ये प्रवेश प्रदान करत असल्याने अधिकृततेचे उल्लंघन झाल्यास एक विशाल हल्ला पृष्ठभाग आहे. API- प्रवेशयोग्य आयटम प्रमाणीकृत करणे आवश्यक असल्याने, हे आवश्यक आहे. API गेटवे वापरून ऑब्जेक्ट-लेव्हल ऑथोरायझेशन चेक लागू करा. केवळ योग्य परवानगी प्रमाणपत्रे असलेल्यांनाच प्रवेश दिला पाहिजे.
तुटलेली वापरकर्ता प्रमाणीकरण
अनधिकृत टोकन्स हे आक्रमणकर्त्यांसाठी API मध्ये प्रवेश मिळवण्याचा आणखी एक वारंवार मार्ग आहे. प्रमाणीकरण प्रणाली हॅक केली जाऊ शकते किंवा API की चुकून उघड होऊ शकते. प्रमाणीकरण टोकन असू शकतात हॅकर्स वापरतात प्रवेश मिळवण्यासाठी. लोकांवर विश्वास ठेवता येत असेल तरच प्रमाणीकृत करा आणि मजबूत पासवर्ड वापरा. OAuth सह, तुम्ही फक्त API की च्या पलीकडे जाऊन तुमच्या डेटामध्ये प्रवेश मिळवू शकता. तुम्ही नेहमी विचार केला पाहिजे की तुम्ही एखाद्या ठिकाणी कसे जाल आणि बाहेर कसे जाल. OAuth MTLS प्रेषक प्रतिबंधित टोकन म्युच्युअल TLS च्या संयोगाने वापरले जाऊ शकतात याची हमी देण्यासाठी की क्लायंट गैरवर्तन करणार नाहीत आणि इतर मशीनमध्ये प्रवेश करताना चुकीच्या पक्षाला टोकन पास करणार नाहीत.
API जाहिरात:
अत्यधिक डेटा एक्सपोजर
प्रकाशित केल्या जाणाऱ्या अंतिम बिंदूंच्या संख्येवर कोणतेही बंधने नाहीत. बहुतेक वेळा, सर्व वैशिष्ट्ये सर्व वापरकर्त्यांसाठी उपलब्ध नसतात. आवश्यकतेपेक्षा जास्त डेटा उघड करून, तुम्ही स्वतःला आणि इतरांना धोक्यात आणता. संवेदनशील उघड करणे टाळा माहिती तो पूर्णपणे आवश्यक होईपर्यंत. OAuth स्कोप आणि दावे वापरून विकासक निर्दिष्ट करू शकतात की कोणाकडे प्रवेश आहे. वापरकर्त्याला डेटाच्या कोणत्या विभागांमध्ये प्रवेश आहे हे दावे निर्दिष्ट करू शकतात. सर्व API मध्ये मानक रचना वापरून प्रवेश नियंत्रण सोपे आणि व्यवस्थापित करणे सोपे केले जाऊ शकते.
संसाधनांचा अभाव आणि दर मर्यादा
ब्लॅक हॅट्स बर्याचदा सर्व्हरवर जबरदस्ती करण्याचा क्रूर-फोर्स मार्ग म्हणून डिनायल-ऑफ-सर्व्हिस (DoS) हल्ल्यांचा वापर करतात आणि त्यामुळे त्याचा अपटाइम शून्यावर आणतात. कॉल केल्या जाणाऱ्या संसाधनांवर कोणतेही निर्बंध नसताना, एपीआय दुर्बल करणाऱ्या हल्ल्यासाठी असुरक्षित आहे. 'एपीआय गेटवे किंवा व्यवस्थापन साधन वापरून, तुम्ही एपीआयसाठी दर निर्बंध सेट करू शकता. फिल्टरिंग आणि पृष्ठांकन समाविष्ट केले पाहिजे, तसेच उत्तरे प्रतिबंधित आहेत.
सुरक्षा प्रणालीचे चुकीचे कॉन्फिगरेशन
सुरक्षा चुकीच्या कॉन्फिगरेशनच्या महत्त्वपूर्ण संभाव्यतेमुळे भिन्न सुरक्षा कॉन्फिगरेशन मार्गदर्शक तत्त्वे बऱ्यापैकी व्यापक आहेत. तुमच्या प्लॅटफॉर्मची सुरक्षा धोक्यात आणू शकतात अशा अनेक छोट्या गोष्टी. हे शक्य आहे की उलट हेतू असलेल्या काळ्या टोपी एक उदाहरण म्हणून, विकृत प्रश्नांच्या प्रतिसादात पाठवलेली संवेदनशील माहिती शोधू शकतात.
मास असाइनमेंट
केवळ एंडपॉइंट सार्वजनिकरित्या परिभाषित केलेला नसल्यामुळे तो विकासकांद्वारे ऍक्सेस केला जाऊ शकत नाही. हॅकर्सद्वारे एक गुप्त API सहजपणे रोखले जाऊ शकते आणि उलट-इंजिनियर केले जाऊ शकते. या मूलभूत उदाहरणावर एक नजर टाका, जे “खाजगी” API मध्ये ओपन बेअरर टोकन वापरते. दुसरीकडे, सार्वजनिक दस्तऐवजीकरण एखाद्या गोष्टीसाठी अस्तित्वात असू शकते जे केवळ वैयक्तिक वापरासाठी आहे. ब्लॅक हॅट्सद्वारे उघड केलेली माहिती केवळ वाचण्यासाठीच नाही तर वस्तूची वैशिष्ट्ये हाताळण्यासाठी वापरली जाऊ शकते. तुम्ही तुमच्या बचावातील संभाव्य कमकुवत बिंदू शोधत असताना स्वतःला हॅकर समजा. जे परत केले होते ते फक्त योग्य अधिकार असलेल्यांनाच प्रवेश द्या. भेद्यता कमी करण्यासाठी, API प्रतिसाद पॅकेज मर्यादित करा. प्रतिसादकर्त्यांनी पूर्णपणे आवश्यक नसलेले कोणतेही दुवे जोडू नयेत.
प्रचारित API:
अयोग्य मालमत्ता व्यवस्थापन
विकसक उत्पादकता वाढवण्याव्यतिरिक्त, वर्तमान आवृत्त्या आणि दस्तऐवजीकरण आपल्या स्वतःच्या सुरक्षिततेसाठी आवश्यक आहेत. नवीन आवृत्त्यांचा परिचय आणि जुन्या API च्या बहिष्कारासाठी खूप आधीच तयारी करा. जुन्यांना वापरात राहू देण्याऐवजी नवीन API वापरा. एपीआय तपशील दस्तऐवजीकरणासाठी सत्याचा प्राथमिक स्त्रोत म्हणून वापरला जाऊ शकतो.
इंजेक्शन
APIs इंजेक्शनसाठी असुरक्षित आहेत, परंतु तृतीय-पक्ष विकसक अॅप्स देखील आहेत. डेटा हटवण्यासाठी किंवा पासवर्ड आणि क्रेडिट कार्ड नंबर यासारखी गोपनीय माहिती चोरण्यासाठी दुर्भावनायुक्त कोड वापरला जाऊ शकतो. यापासून दूर ठेवण्याचा सर्वात महत्त्वाचा धडा म्हणजे डीफॉल्ट सेटिंग्जवर अवलंबून न राहणे. तुमचे व्यवस्थापन किंवा गेटवे पुरवठादार तुमच्या अनन्य अनुप्रयोग गरजा पूर्ण करण्यास सक्षम असावे. त्रुटी संदेशांमध्ये संवेदनशील माहिती समाविष्ट नसावी. सिस्टीमच्या बाहेर ओळखीचा डेटा लीक होण्यापासून रोखण्यासाठी, टोकन्समध्ये पेअरवाइज छद्मनाम वापरावे. हे सुनिश्चित करते की वापरकर्ता ओळखण्यासाठी कोणताही क्लायंट एकत्र काम करू शकत नाही.
अपुरा लॉगिंग आणि मॉनिटरिंग
जेव्हा हल्ला होतो तेव्हा संघांना विचारपूर्वक प्रतिक्रिया धोरण आवश्यक असते. विश्वासार्ह लॉगिंग आणि मॉनिटरिंग सिस्टम नसल्यास विकसक असुरक्षिततेचे शोषण करत राहतील, ज्यामुळे तोटा वाढेल आणि कंपनीबद्दल लोकांच्या धारणा खराब होतील. कठोर API मॉनिटरिंग आणि उत्पादन एंडपॉइंट चाचणी धोरण स्वीकारा. व्हाइट हॅट परीक्षक जे असुरक्षितता लवकर शोधतात त्यांना बक्षीस योजनेने पुरस्कृत केले पाहिजे. API व्यवहारांमध्ये वापरकर्त्याची ओळख समाविष्ट करून लॉग ट्रेल सुधारला जाऊ शकतो. ऍक्सेस टोकन डेटा वापरून तुमच्या API आर्किटेक्चरच्या सर्व स्तरांचे ऑडिट केले जात असल्याची खात्री करा.
निष्कर्ष
प्लॅटफॉर्म आर्किटेक्ट स्थापित असुरक्षा निकषांचे पालन करून आक्रमणकर्त्यांपेक्षा एक पाऊल पुढे ठेवण्यासाठी त्यांच्या सिस्टमला सुसज्ज करू शकतात. कारण APIs वैयक्तिकरित्या ओळखण्यायोग्य माहिती (PII) साठी प्रवेशयोग्यता प्रदान करू शकतात, अशा सेवांची सुरक्षा राखणे कंपनी स्थिरता आणि GDPR सारख्या कायद्यांचे पालन या दोन्हीसाठी महत्त्वपूर्ण आहे. एपीआय गेटवे आणि फॅंटम टोकन अॅप्रोच न वापरता थेट एपीआयवर कधीही OAuth टोकन पाठवू नका.
प्रचारित API:
