Популярное
Свежее
Моя лента
Сообщения
Обзор
Курсы
Темы
Деньги
Маркетинг
Крипто
Путешествия
Мнения
Сервисы
Маркетплейсы
Личный опыт
Техника
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Олег Пименов
Разработка

𝗢𝗪𝗔𝗦𝗣 𝗧𝗼𝗽 𝟭𝟬 𝗔𝗣𝗜 𝗦𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝗥𝗶𝘀𝗸𝘀

Список топ-10 рисков безопасности API в 2023 году.

𝗕𝗿𝗼𝗸𝗲𝗻 𝗢𝗯𝗷𝗲𝗰𝘁 𝗟𝗲𝘃𝗲𝗹 𝗔𝘂𝘁𝗵𝗼𝗿𝗶𝘇𝗮𝘁𝗶𝗼𝗻

Проблемы с авторизацией на уровне объектов – API склонны раскрывать конечные точки, которые обрабатывают идентификаторы объектов, создавая широкую атакуемую поверхность из-за проблем контроля доступа на уровне объектов.

𝗕𝗿𝗼𝗸𝗲𝗻 𝗔𝘂𝘁𝗵𝗲𝗻𝘁𝗶𝗰𝗮𝘁𝗶𝗼𝗻

Нарушение аутентификации – механизмы аутентификации часто реализованы неправильно, что позволяет атакующим компрометировать токены аутентификации или использовать недостатки в реализации для временного или постоянного принятия чужих идентификаторов.

𝗕𝗿𝗼𝗸𝗲𝗻 𝗢𝗯𝗷𝗲𝗰𝘁 𝗣𝗿𝗼𝗽𝗲𝗿𝘁𝘆 𝗟𝗲𝘃𝗲𝗹 𝗔𝘂𝘁𝗵𝗼𝗿𝗶𝘇𝗮𝘁𝗶𝗼𝗻

Проблемы с авторизацией на уровне свойств объектов – отсутствие или неправильная валидация авторизации на уровне свойств объекта.

𝗨𝗻𝗿𝗲𝘀𝘁𝗿𝗶𝗰𝘁𝗲𝗱 𝗥𝗲𝘀𝗼𝘂𝗿𝗰𝗲 𝗖𝗼𝗻𝘀𝘂𝗺𝗽𝘁𝗶𝗼𝗻

Неконтролируемое потребление ресурсов – обработка запросов API требует сетевой пропускной способности, процессорного времени, памяти и ресурсов хранения.

𝗕𝗿𝗼𝗸𝗲𝗻 𝗙𝘂𝗻𝗰𝘁𝗶𝗼𝗻 𝗟𝗲𝘃𝗲𝗹 𝗔𝘂𝘁𝗵𝗼𝗿𝗶𝘇𝗮𝘁𝗶𝗼𝗻

Нарушение авторизации на уровне функций – сложные политики контроля доступа с различными иерархиями, группами и ролями, а также неясное разделение между административными и обычными функциями, склонны приводить к ошибкам авторизации.

𝗨𝗻𝗿𝗲𝘀𝘁𝗿𝗶𝗰𝘁𝗲𝗱 𝗔𝗰𝗰𝗲𝘀𝘀 𝘁𝗼 𝗦𝗲𝗻𝘀𝗶𝘁𝗶𝘃𝗲 𝗕𝘂𝘀𝗶𝗻𝗲𝘀𝘀 𝗙𝗹𝗼𝘄𝘀

Неограниченный доступ к чувствительным бизнес-процессам – API, уязвимые к этому риску, раскрывают бизнес-процесс, такой как публикация комментария, не компенсируя, как данная функциональность может навредить бизнесу, если использоваться излишне в автоматизированном режиме.

𝗦𝗲𝗿𝘃𝗲𝗿 𝗦𝗶𝗱𝗲 𝗥𝗲𝗾𝘂𝗲𝘀𝘁 𝗙𝗼𝗿𝗴𝗲𝗿𝘆

Подделка запросов с сервера – может произойти, когда API извлекает удаленный ресурс без проверки URI, предоставленного пользователем.

𝗦𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝗠𝗶𝘀𝗰𝗼𝗻𝗳𝗶𝗴𝘂𝗿𝗮𝘁𝗶𝗼𝗻

Ошибки конфигурации безопасности – API и поддерживающие их системы обычно содержат сложные конфигурации, предназначенные для большей настраиваемости API.

𝗜𝗺𝗽𝗿𝗼𝗽𝗲𝗿 𝗜𝗻𝘃𝗲𝗻𝘁𝗼𝗿𝘆 𝗠𝗮𝗻𝗮𝗴𝗲𝗺𝗲𝗻𝘁

Неправильное управление инвентаризацией – API предоставляют больше конечных точек, чем традиционные веб-приложения, поэтому важна актуальная и правильная документация.

𝗨𝗻𝘀𝗮𝗳𝗲 𝗖𝗼𝗻𝘀𝘂𝗺𝗽𝘁𝗶𝗼𝗻 𝗼𝗳 𝗔𝗣𝗜𝘀

Небезопасное использование API – разработчики склонны больше доверять данным, полученным от сторонних API, чем пользовательскому вводу, и принимают более слабые стандарты безопасности.

11
Начать дискуссию