کد نویسی امن
از آنجایی که API ها یک هدف مورد علاقه برای عوامل تهدید هستند، چالش ایمن سازی چسبی که عناصر مختلف نرم افزار را در کنار هم نگه می دارد، در حال افزایش فوریت است.
ژوئن 01 2023 • , 4 دقیقه خواندن
رابط برنامه نویسی کاربردی (API) قهرمان گمنام انقلاب دیجیتال است. این چسبی را فراهم می کند که اجزای مختلف نرم افزار را به منظور ایجاد تجربیات کاربر جدید به هم می چسباند. اما در ارائه مسیر مستقیم به پایگاههای اطلاعاتی Back-end، APIها نیز هستند هدف جذاب برای عوامل تهدید. این کمکی نمیکند که تعداد آنها در سالهای اخیر منفجر شده و باعث شده است که بسیاری از استقرارها بدون اسناد و مدارک و ناامن بمانند.
مطابق با یک مطالعه جدید94 درصد از سازمانهای جهانی مشکلات امنیتی API را در تولید در سال گذشته تجربه کردهاند و تقریباً یک پنجم (17 درصد) از نقض مرتبط با API رنج میبرند. زمان آن فرا رسیده است که این بلوک های ساختمانی دیجیتالی را در معرض دید و کنترل قرار دهید.
تهدیدات API چقدر بد هستند؟
API ها کلیدی هستند شرکت قابل ترکیب: یک مفهوم گارتنر که در آن سازمان ها تشویق می شوند تا برنامه های خود را به تقسیم بندی کنند قابلیت های تجاری بسته بندی شده (PBCs). ایده این است که مونتاژ این اجزای کوچکتر به روشهای مختلف به شرکتها امکان میدهد تا با سرعت بیشتری حرکت کنند – ایجاد عملکرد و تجربیات جدید در پاسخ به نیازهای تجاری که به سرعت در حال تکامل هستند. APIها جزء مهمی از PBCها هستند که استفاده از آنها اخیراً با افزایش پذیرش معماری میکروسرویس ها افزایش یافته است.
تقریباً همه (97٪) رهبران جهانی فناوری اطلاعات بنابراین اکنون موافقت کنید که اجرای موفقیت آمیز یک استراتژی API برای درآمد و رشد آینده حیاتی است. اما حجم زیاد APIها و توزیع آنها در چندین معماری و تیم باعث نگرانی است. ممکن است ده ها یا حتی صدها هزار API با مشتری و شریک در یک شرکت بزرگ وجود داشته باشد. حتی سازمان های متوسط ممکن است هزاران نفر را اداره کنند.
چه تاثیری بر شرکت ها دارد؟
تهدیدها نیز دور از نظر تئوری هستند. فقط امسال شاهد بودیم:
- T-Mobile USA اعتراف می کند 37 میلیون مشتری از طریق یک API توسط یک عامل مخرب به اطلاعات شخصی و حساب کاربری خود دسترسی داشتند
- مجوز باز پیکربندی نادرست (OAuth) پیاده سازی ها در Booking.com که می توانست حملات جدی تصاحب حساب کاربری را در سایت فعال کند
این فقط شهرت شرکت و نتیجه نهایی نیست که از تهدیدات API در خطر است. آنها همچنین می توانند پروژه های تجاری مهم را انجام دهند. بیش از نیمی (59%) از سازمان ها ادعا می کنند به دلیل نگرانیهای امنیتی API، مجبور شدهاند سرعت انتشار برنامههای جدید را کاهش دهند. این بخشی از دلیلی است که چرا اکنون موضوع بحث در سطح C برای نیمی از تابلوها است.
سه خطر اصلی API
دهها روش وجود دارد که هکرها میتوانند از یک API سوء استفاده کنند، اما OWASP منبعی است برای کسانی که میخواهند بزرگترین تهدیدها را متوجه سازمان خود کنند. آن لیست 10 برتر امنیتی OWASP API در سال 2023 سه خطر امنیتی اصلی زیر را شرح می دهد:
- مجوز سطح شیء شکسته (BOLA): API نمی تواند تأیید کند که آیا درخواست کننده باید به یک شی دسترسی داشته باشد یا خیر. این می تواند منجر به سرقت، تغییر یا حذف داده ها شود. مهاجمان فقط باید بدانند که مشکل وجود دارد - هیچ هک کد یا رمز عبور سرقت شده برای سوء استفاده از BOLA لازم نیست.
- احراز هویت شکسته: محافظت های احراز هویت از دست رفته و/یا به درستی اجرا نشده است. OWASP هشدار می دهد که احراز هویت API برای بسیاری از توسعه دهندگان ممکن است "پیچیده و گیج کننده" باشد، زیرا ممکن است تصورات نادرستی در مورد نحوه اجرای آن داشته باشند. خود مکانیسم احراز هویت نیز در معرض دید هر کسی قرار می گیرد و آن را به یک هدف جذاب تبدیل می کند. نقاط پایانی API که مسئول احراز هویت هستند باید متفاوت از سایرین با حفاظت پیشرفته برخورد شود. و هر مکانیزم احراز هویت مورد استفاده باید با بردار حمله مربوطه مناسب باشد.
- مجوز سطح دارایی شی شکسته (BOPLA): مهاجمان می توانند مقادیر ویژگی های شی را که قرار نیست به آنها دسترسی داشته باشند بخوانند یا تغییر دهند. نقاط پایانی API در صورتی آسیب پذیر هستند که ویژگی های یک شی را که حساس تلقی می شوند را در معرض دید قرار دهند ("معرض بیش از حد داده"). یا اگر به کاربر اجازه تغییر می دهند، مقدار ویژگی یک شی حساس را اضافه/یا حذف کنند ("تخصیص انبوه"). دسترسی غیرمجاز میتواند منجر به افشای دادهها برای اشخاص غیرمجاز، از دست رفتن دادهها یا دستکاری دادهها شود.
همچنین مهم است که به یاد داشته باشید که این آسیب پذیری ها متقابل نیستند. برخی از بدترین نقضهای داده مبتنی بر API به دلیل ترکیبی از سوء استفادهها مانند BOLA و قرار گرفتن در معرض بیش از حد داده ایجاد شدهاند.
چگونه تهدیدات API را کاهش دهیم
با توجه به آنچه در خطر است، بسیار مهم است که از همان ابتدا امنیت را در هر استراتژی API ایجاد کنید. این بدان معنی است که بدانید همه API های شما کجا هستند و ابزارها و تکنیک هایی را برای مدیریت احراز هویت نقطه پایانی، ارتباطات شبکه ایمن، کاهش باگ های رایج و مقابله با تهدید ربات های بد قرار دهید.
در اینجا چند مکان برای شروع وجود دارد:
- بهبود مدیریت API با پیروی از یک مدل توسعه برنامه مبتنی بر API که به شما امکان می دهد دید و کنترل را به دست آورید. با انجام این کار، امنیت را به چپ تغییر میدهید تا کنترلها را در اوایل چرخه توسعه نرمافزار اعمال کنید و آنها را در خط لوله CI/CD خودکار کنید.
- از ابزارهای کشف API استفاده کنید برای حذف تعداد APIهای سایه در حال حاضر در سازمان و درک اینکه APIها کجا هستند و آیا دارای آسیب پذیری هستند
- یک دروازه API مستقر کنید که درخواست های مشتری را می پذیرد و آنها را به سمت سرویس های پشتیبان سمت راست هدایت می کند. این ابزار مدیریتی به شما کمک می کند تا ترافیک API را احراز هویت، کنترل، نظارت و ایمن کنید
- افزودن فایروال برنامه وب (WAF) برای افزایش امنیت دروازه خود، مسدود کردن ترافیک مخرب از جمله DDoS و تلاشهای بهرهبرداری
- رمزگذاری تمام داده ها (یعنی از طریق TLS) سفر از طریق API ها، بنابراین نمی توان آن را در حملات مرد میانی رهگیری کرد
- از OAuth برای کنترل دسترسی API استفاده کنید به منابعی مانند وب سایت ها بدون افشای اعتبار کاربر
- برای محدود کردن تعداد دفعات فراخوانی API شما، محدودیت نرخ را اعمال کنید. این تهدید ناشی از حملات DDoS و سایر جهشهای ناخواسته را کاهش میدهد
- از ابزار نظارتی استفاده کنید برای ثبت همه رویدادهای امنیتی و پرچم گذاری فعالیت های مشکوک
- رویکرد اعتماد صفر را در نظر بگیرید که فرض می کند که هیچ کاربر، دارایی یا منبعی در داخل محیط قابل اعتماد نیست. درعوض، برای هر عملیاتی باید مدرکی مبنی بر احراز هویت و مجوز درخواست کنید
تحول دیجیتال سوختی است که رشد پایدار را برای شرکت مدرن تامین می کند. این API ها را در جلو و مرکز هر پروژه توسعه جدیدی قرار می دهد. آنها باید به شدت مستند شوند، با اصول طراحی ایمن توسعه یافته و در تولید با رویکردی چند لایه محافظت شوند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. خودرو / خودروهای الکتریکی، کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- BlockOffsets. نوسازی مالکیت افست زیست محیطی. دسترسی به اینجا.
- منبع: https://www.welivesecurity.com/2023/06/01/top-3-api-security-risks-mitigate/
- : دارد
- :است
- :نه
- :جایی که
- $UP
- 10
- 2023
- 80
- a
- قادر
- درباره ما
- قبول می کند
- دسترسی
- قابل دسترسی است
- حساب
- در میان
- بازیگران
- اتخاذ
- معرفی
- اجازه دادن
- اجازه می دهد تا
- تنها
- قبلا
- همچنین
- an
- و
- هر
- هر کس
- API
- دسترسی به API
- رابط های برنامه کاربردی
- نرم افزار
- توسعه برنامه
- کاربرد
- برنامه های کاربردی
- درخواست
- روش
- مناسب
- برنامه های
- هستند
- AS
- دارایی
- At
- حمله
- حمله
- جالب
- تصدیق کردن
- تصدیق
- مجوز
- خودکار بودن
- مطلع
- بازگشت پایان
- بخش مدیریت
- بد
- BE
- زیرا
- بوده
- بزرگترین
- انسداد
- بلاک ها
- رزرو
- Booking.com
- رباتها
- پایین
- شکاف
- نقض
- شکستن
- اشکالات
- ساختن
- بنا
- کسب و کار
- اما
- by
- نام
- CAN
- دسته بندی
- ایجاد می شود
- مرکز
- به چالش
- تغییر دادن
- ادعا
- مشتری
- رمز
- COM
- ترکیب
- مشترک
- ارتباط
- جزء
- اجزاء
- مفهوم
- نگرانی
- نگرانی ها
- در نظر گرفته
- شامل
- کنترل
- کنترل
- گروه شاهد
- شرکت
- میتوانست
- ایجاد
- ایجاد
- بحرانی
- مشتریان
- داده ها
- خرابی داده ها
- از دست رفتن داده ها
- پایگاه های داده
- از DDoS
- تقاضا
- اعزام ها
- جزئیات
- توسعه
- توسعه دهندگان
- پروژه
- دیجیتال
- انقلاب دیجیتال
- مستقیم
- افشاء
- کشف
- گفتگو
- توزیع
- مختلف
- نمی کند
- عمل
- پایین
- ده ها
- e
- در اوایل
- عناصر
- از بین بردن
- فعال
- را قادر می سازد
- تشویق
- نقطه پایانی
- بالا بردن
- افزایش
- سرمایه گذاری
- شرکت
- حتی
- حوادث
- هر
- در حال تحول
- انحصاری
- اجرا کردن
- وجود دارد
- با تجربه
- تجارب
- بهره برداری
- بهره برداری
- سوء استفاده
- قرار گرفتن در معرض
- ارائه
- چشم ها
- نتواند
- بسیار
- محبوب
- کمی از
- فایروال
- شرکت ها
- پیروی
- برای
- از جانب
- جلو
- سوخت
- قابلیت
- آینده
- افزایش
- گارتنر
- دروازه
- جهانی
- Go
- حکومت
- بیشتر
- رشد
- هکرها
- هک
- بود
- نیم
- آیا
- کمک
- قهرمان
- نگه داشتن
- دارای
- چگونه
- چگونه
- HTML
- HTTPS
- صدها نفر
- i
- اندیشه
- if
- تأثیر
- انجام
- مهم
- in
- از جمله
- افزایش
- افزایش
- به طور فزاینده
- اطلاعات
- داخل
- در عوض
- رابط
- به
- IT
- خود
- JPG
- تنها
- کلید
- بزرگ
- دیر
- لایه بندی
- رهبری
- رهبران
- برجسته
- ترک کرد
- سطح
- wifecycwe
- پسندیدن
- محدود کردن
- لاین
- ورود به سیستم
- خاموش
- اصلی
- ساخت
- مدیریت
- مدیریت
- دست کاری
- بسیاری
- حداکثر عرض
- ممکن است..
- به معنی
- مکانیزم
- خدمات میکرو
- میلیون
- دقیقه
- تصورات غلط
- گم
- کاهش
- مدل
- مدرن
- مانیتور
- نظارت بر
- بیش
- حرکت
- چند لایه
- چندگانه
- باید
- متقابلا
- تقریبا
- نیاز
- ضروری
- نیازهای
- شبکه
- جدید
- نه
- اکنون
- عدد
- اوت
- هدف
- of
- غالبا
- on
- فقط
- باز کن
- or
- سفارش
- کدام سازمان ها
- سازمان های
- دیگر
- دیگران
- روی
- بخش
- احزاب
- کلمه عبور
- گذشته
- مسیر
- شخصی
- PHIL
- اماکن
- افلاطون
- هوش داده افلاطون
- PlatoData
- برق
- از اصول
- مشکل
- مشکلات
- تولید
- برنامه نويسي
- پروژه
- پروژه ها
- اثبات
- املاک
- ویژگی
- محفوظ
- حفاظت
- فراهم می کند
- ارائه
- قرار می دهد
- سریعا
- نرخ
- خواندن
- دلیل
- اخیر
- مربوط
- به یاد داشته باشید
- شهرت
- درخواست
- منابع
- منابع
- پاسخ
- مسئوليت
- محدود کردن
- نتیجه
- درامد
- انقلاب
- راست
- خطر
- خطرات
- راه اندازی
- مسیرها
- در حال اجرا
- s
- امن
- امنیت
- تیم امنیت لاتاری
- رویدادهای امنیتی
- خطرات امنیتی
- مشاهده گردید
- حساس
- جدی
- خدمات
- سایه
- تغییر
- باید
- کند
- کوچکتر
- So
- نرم افزار
- اجزای نرم افزار
- توسعه نرم افزار
- برخی از
- منبع
- سرعت
- سهام
- شروع
- به سرقت رفته
- استراتژی
- موفقیت
- چنین
- مبتلا
- مفروض
- رسید
- مشکوک
- قابل تحمل
- رشد پایدار
- برخورد با
- تصاحب
- مصرف
- هدف
- تیم ها
- تکنیک
- ده ها
- نسبت به
- که
- La
- سرقت
- شان
- آنها
- نظری
- آنجا.
- اینها
- آنها
- این
- در این سال
- کسانی که
- هزاران نفر
- تهدید
- بازیگران تهدید
- تهدید
- سه
- از طریق
- زمان
- به
- با هم
- ابزار
- ابزار
- بالا
- بالا 10
- موضوع
- ترافیک
- دگرگونی
- اعتماد
- مورد اعتماد
- فهمیدن
- درک
- نا امن
- ناخواسته
- ایالات متحده
- استفاده کنید
- استفاده
- کاربر
- کاربران
- ارزش
- ارزشها
- مختلف
- بررسی
- از طريق
- دید
- حیاتی
- حجم
- آسیب پذیری ها
- آسیب پذیر
- میخواهم
- هشدارها
- راه
- وب
- برنامه تحت وب
- وب سایت
- چه
- که
- WHO
- که
- چرا
- اراده
- با
- بدون
- بدترین
- سال
- سال
- شما
- شما
- زفیرنت
- صفر
- اعتماد صفر