Heu de conèixer la seguretat de l’API

Temps de lectura previst: 4 Minuts

Una interfície de programació d’aplicacions (API) és un mètode que permet que les aplicacions es comuniquin entre elles. Ofereix als desenvolupadors una manera de desenvolupar aplicacions de programari alhora que els permet extreure i distribuir dades de manera accessible.

Les API es poden utilitzar per facilitar la ciberseguretat, ja que s’utilitzen àmpliament per generar informació sensible. L’autenticació feble, la manca de xifratge, els defectes lògics i l’enfocament insegur fan que l’API sigui vulnerable als atacs.

Alguns atacs importants solen ser a causa de la manca de mesures de seguretat quan s’implementa l’API.

MITM en humans

Per obtenir informació sensible, un intrús intercepta el trànsit interceptant i interceptant comunicacions, inclòs un intercanvi d’API.

Injecció d’API (XSS i SQLi)

En un atac per injecció de codi, el codi maliciós s’insereix en un programa de programari feble per tal d’atacar un atac mitjançant scripts entre llocs (XSS) i injecció MySQL (MySQL).

Un criminal pot instal·lar scripts maliciosos en una API feble, és a dir, aquella que no realitza una entrada de filtre adequada i impedeix Express Attack (FIEO) en llançar un atac XSS dirigit als navegadors dels usuaris finals. ۔ A més, s’insereix un codi d’error en un missatge de l’API, per exemple, elements d’una base de dades, ordres que eliminen registres.

Servei de denegació de distribució (DDoS)

En un atac de denegació de servei distribuït (DDOS), diversos sistemes inunden un sistema de destinació, generalment l’amplada de banda dels servidors web. Un atac contra el DPOS intenta aclaparar la seva memòria i capacitat mitjançant la coordinació de contactes a través d’un EPL o enviant / sol·licitant grans quantitats d’informació en cada aplicació. L’atac DDOS al lloc web de la FCC a principis del 2017 va utilitzar serveis de núvol comercials per permetre al sistema de comentaris emetre sol·licituds d’API a gran escala. Va devorar els recursos disponibles de les màquines i va expulsar multitud de treballadors humans, acabant destruint el lloc.

Segrest de DNS

El segrest d’un servidor de noms de domini (DNS), també conegut com a redirecció DNS, és un tipus d’atac en el qual les consultes DNS es redirigeixen inesperadament a llocs maliciosos.

Un exemple de segrest de DNS és quan intenteu accedir a Internet i a un lloc web que us condueix a finestres emergents i anuncis desafortunats. El propòsit principal d’això és generar ingressos.

El segrest de DNS també es pot utilitzar per a pesca de pesca. A la pesca, les víctimes són objectius específics i els atacants intenten revelar informació sensible, com ara certificats de pagament. En phishing, veiem l’escenari més comú que els usuaris envien a un lloc web que és un lloc web de pagament legítim i que els roba la informació.

Com emmagatzemem les nostres API a QuickHale

HTTPS per HTTP

Transport Layer Security (TLS) és un estàndard que manté la connexió a Internet privada i comprova que les dades enviades entre els dos sistemes estan xifrades i no editades. Es diu que si una URL comença amb “HTTPS” (Hypertext Transfer Protocol Secure), llavors un lloc web està protegit amb TLS.

Es requereix TLS en una interacció basada en API. El xifratge de la capa de transport és un dels elements imprescindibles per assegurar les API. Si no hi ha TLS, el risc d’atacs “a l’est” és molt alt. Tots dos fem servir TLS a les nostres API, especialment quan fem públic amb les API. Utilitzem estrictament HTTPS sobre HTTP.

Autenticació

L’autenticació bàsica es pot implementar mitjançant el protocol TLS per determinar la identitat de l’usuari final (trucada) en una API. Tot i això, OT2 i Open ID Connect són alternatives més segures.

No exposeu mai informació sobre URL

No exposeu mai cap informació sensible o dèbil a l’URL

Validació de paràmetres d’entrada

Valideu els paràmetres de l’aplicació en una fase inicial, abans que arribi a la lògica empresarial de processament de serveis reals. Hem comprovat fermament la verificació i, si la verificació falla, rebutgem immediatament aquesta sol·licitud.

Xifratge

Utilitzeu un xifratge fort per obtenir informació confidencial i privada mentre modifiqueu l’API. Utilitzem un algorisme de xifratge fort i lleuger: AES256

AES256

El Advanced Encryption Standard (AES) és el primer i únic xifratge d’accés públic aprovat per l’Agència Nacional de Seguretat dels Estats Units (NSA) per protegir la intel·ligència dels EUA.

Fins ara, s’ha informat de molt pocs atacs contra la implementació de 256 AES. La majoria d’aquests eren atacs de canal lateral (aquests atacs eren contra la implementació de xifres al sistema, no a la intel·ligència interna en si). Es creu que el disseny i la potència de la longitud de la clau protegeixen l’algorisme AES i una longitud de clau de 256 bits és ideal per a la intel·ligència de gamma alta. Ningú vol comprometre’s pel que fa a la seguretat de les dades, i AES-256 és el mètode de xifratge de dades més segur disponible al mercat actualment.

Algoritmes d’intercanvi de claus

Utilitzeu algoritmes d’intercanvi de claus forts per intercanviar claus d’autenticació o xifratge. S’ha d’adoptar sota un codi estàtic o secret estàtic.

Per a intercanvis de claus secretes, fem servir el mètode d’intercanvi públic més fort anomenat Duffy Hellman Secured Key Exchange.

Intercanvi de claus segures de Duffy Hellman:

L’intercanvi de claus de Duffy Hellman és complex. Utilitza molts números i moltes matemàtiques. L’intercanvi de claus Duffy-Hellman es basa en accions unilaterals com a base de la seva seguretat. Aquests càlculs són simples i unilaterals, però molt difícils de calcular a la inversa.

Alguns dels avantatges de Duffy Hellman:

  • Els remitents i els destinataris no necessiten un coneixement previ dels altres
  • Un cop intercanviats les claus, les dades es poden comunicar a través d’un canal insegur
  • El compartiment de claus secret és segur

Autenticació basada en token

L’avantatge de l’autenticació basada en testimonis és que elimina la possibilitat de tenir credencials d’inici de sessió dèbils. Un testimoni és una peça de dades molt segura que s’utilitza per transferir informació sensible entre les dues parts d’una manera compacta i autònoma. Les fitxes s’utilitzen sovint per racionalitzar el procés d’autenticació, ja sigui en un lloc web o en una aplicació.

Utilitzem comunicació basada en token JWT que consisteix en:

  • Una capçalera que especifica el tipus de testimoni i l’algorisme utilitzat
  • Una càrrega útil que conté informació sobre l’usuari i altres metadades
  • Una signatura que confirma la identitat del remitent i l’autenticitat del missatge

URL

Els URL no exposen cap informació sensible perquè evitem l’ús de paràmetres de consulta i no revelem cap informació a través d’URL.

Validació de paràmetres d’entrada

Tenim paràmetres d’entrada forts verificats en una etapa molt primerenca abans d’implementar la lògica empresarial i rebutgem totes les sol·licituds no vàlides possibles.

Seguretat vs. Rendiment

El rendiment és una característica i una essència de seguretat actualment, per la qual cosa és molt important aconseguir-les totes dues sense comprometre’s. Per complir aquests requisits de seguretat, es poden triar estratègies d’implementació lleugeres amb mesures de seguretat elevades, sense comprometre el rendiment.

Coautor de Prafulla Prakash Ranadio

Hi ha alguna cosa que afegir a aquesta història? Comparteix-ho

Recent Articles

Veure bellesa i animals des de qualsevol lloc del 2020

La bella i la bèstia actualment només s’estrena a Disney +. Quan em vaig adonar que no veia la bellesa ni els animals perquè...

El troià Emotet va arribar al món tan bon punt va tornar

Temps de lectura previst: 5 MinutsUn actor amenaçador anomenat Emotet Trojan ha estat en llibertat durant més de 5 anys i...

Allunyant-se del terme “amo / esclau”: TechCrunch

TGIF, estic bé? Benvingut a Human Capital, on trobem les últimes novetats sobre treball, diversitat i compromís tecnològic. Aquesta setmana, fem una ullada als...

Revisió d’Apple Watch Series 6: TechCrunch

Quan vé En els rellotges intel·ligents, Apple és contra el món. No és que no hi hagi molts altres productes per triar; és...

Human Forrest suspèn el servei d’intercanvi de bicicletes electròniques a Londres i talla llocs de treball després d’un accident de clients: TechCrunch

Startup amb seu al Regne Unit Human Forest Tech McCrunch ha sabut que el servei de bicicletes electròniques "gratuït" acabat de néixer s'ha...

Related Stories

Leave A Reply

Please enter your comment!
Please enter your name here

Stay on op - Ge the daily news in your inbox