راهنمای امنیت API

راهنمای امنیت API

معرفی

APIها برای افزایش نوآوری در اقتصاد دیجیتال ما ضروری هستند.
 
Garner، Inc پیش بینی می کند که تا سال 2020، بیش از 25 میلیارد همه چیز به اینترنت متصل خواهد شد.
 
این نشان دهنده یک فرصت درآمدی افزایشی است 300 میلیارد دلار توسط API تغذیه می شود. 
 
با این حال APIها سطح حمله گسترده تری را برای آنها نشان می دهند مجرمان سایبری.
 
دلیلش این است که APIها منطق برنامه و داده های حساس را در معرض دید قرار می دهند.
 
این مقاله نحوه ایمن سازی API ها را بررسی می کند.
 
ما در مورد REST APIها در مقابل SOAP APIها بحث خواهیم کرد.
 
ما 10 برتر API OWASP را بررسی خواهیم کرد.
 
به علاوه در مورد بهترین روش ها برای ایمن سازی API های شما صحبت خواهیم کرد.

API Economy چیست؟

اقتصاد API زمانی پدیدار می شود که API ها بخشی از یک مدل سازمانی شوند.
 
APIها توانمندسازهای استراتژیک برای چندین مدل کسب و کار آنلاین بوده اند. 
 
به عنوان مثال، آمازون بیش از یک خرده‌فروش اینترنتی، یک دروازه تجاری محبوب است.
 
پلتفرم آمازون بر پایه APIهایی ساخته شده است که امکان ورود آسان به تاجران جدید را فراهم می کند. 
 
بانک‌ها زیرساخت‌های پرداخت و اتاق‌های تسویه را بر اساس APIهای تعریف‌شده برای چندین دهه استوار کرده‌اند.
 
API ها باید بخشی جدایی ناپذیر از استراتژی کسب و کار شما باشند.

امنیت وب API

APIهای وب سمت سرویس گیرنده یک برنامه کاربردی را به سمت سرور متصل می کنند.
 
امنیت Web API شامل کنترل دسترسی و حریم خصوصی است اما محدود نمی شود. 
 
حمله به یک برنامه ممکن است برنامه سمت سرویس گیرنده را دور بزند و روی APIها تمرکز کند.
 
میکروسرویس ها اغلب از API استفاده می کنند زیرا از طریق شبکه های عمومی در دسترس هستند.
 
APIها می‌توانند به رویدادهای نوع DDOS انکار سرویس حساس باشند. 
 
امنیت REST API در مقابل امنیت SOAP API 
 
دو نوع اصلی پیاده سازی API وجود دارد:
 
  1. REST (انتقال دولتی نمایندگی). 
 
      2. SOAP (پروتکل دسترسی به اشیاء ساده).

امنیت API REST

رمزگذاری لایه حمل و نقل (TLS) از طریق API های REST پشتیبانی می کند که از طریق HTTP ارتباط برقرار می کنند.
 
TLS رمزگذاری و تأیید می کند تا اطمینان حاصل شود که هیچ شخص ثالثی نمی تواند داده های ارسال شده را بخواند.
 
هکرهایی که سعی در سرقت کارت اعتباری شما دارند اطلاعات به داده های شما دسترسی نخواهد داشت. 
 
API های REST از نشانه گذاری شی جاوا اسکریپت (JSON) استفاده می کنند. استفاده از REST API سریعتر از SOAP APIها است. آنها نیازی به نگهداری داده ها ندارند، که آنها را کارآمدتر می کند.

SOAP API، امنیت

API های SOAP یک مکانیسم امنیتی داخلی به نام امنیت خدمات وب (WS Security) ارائه می دهند. آنها احراز هویت و مجوز را بررسی می کنند. آنها از رمزگذاری XML، امضاهای XML و نشانه های SAML استفاده می کنند.

SOAP رویکرد مناسبی برای استانداردسازی و رمزگذاری خدمات وب است. SOAP جایگزین بهتری نسبت به REST است. 

SOAP محدود به XML است اما REST می تواند هر قالب داده را مدیریت کند. درک JSON آسانتر از XML است. استفاده از REST برای انتقال داده باعث صرفه جویی در هزینه های زیرساخت رایانه می شود.

مدیریت API

مدیریت API به کسب و کارها کمک می کند تا منابع دیجیتالی خود را بسازند. 

در زیر چند روش برای مدیریت امنیت API آورده شده است:

1. احراز هویت

HTTP Basic Authentication روشی است که کلاینت با استفاده از API Gateway احراز هویت می کند.

2. احراز هویت OAuth2.0

مکانیزم استاندارد برای مجوز OAuth 2.0 است.
 
چارچوب مجوز OAuth 2.0 به شخص ثالث امکان دسترسی محدود به سرویس HTTP را می دهد.
 
این کار با فعال کردن برنامه شخص ثالث برای دسترسی از طرف خود کار می کند. 
 
 در زمینه جریان های احراز هویت OAuth، چند گزینه مختلف وجود دارد.
 
جریان های OAuth پشتیبانی شده عبارتند از:
 
  • نام کاربری جریان رمز عبور: جایی که برنامه دسترسی مستقیم به اطلاعات کاربری دارد.
 
  • جریان وب سرور: جایی که سرور می تواند از راز مصرف کننده محافظت کند.
 
  • جریان کاربر-عامل: توسط برنامه هایی استفاده می شود که نمی توانند راز مصرف کننده را ذخیره کنند.
 
در احراز هویت OAuth2.0، کاربر اعتبارنامه ها را در بدنه درخواست ارسال می کند. مانند احراز هویت اولیه، اما توکن ها را نیز معرفی کنید. توکن ها در سمت سرور ذخیره می شوند. همان توکن هر چند بار با سرویس تماس می گیرد تا زمانی که منقضی شود. کاربران می‌توانند برای دریافت مورد جدید، تازه‌سازی کنند.
 
مشکل این است که این روش توکن های بیشتری تولید می کند. توکن های منقضی شده روی سرور، بار سرور را افزایش می دهند.

3. JSON Web Token Authentication

یک توکن JWT یک شی JSON و base64 است که با یک کلید مشترک رمزگذاری و امضا شده است. JWT تضمین می کند که فقط یک کاربر تعریف شده می تواند یک توکن منحصر به فرد تولید کند. JWT ها رمزگذاری نشده اند. هر کسی که به توکن دسترسی داشته باشد داده ها را دریافت خواهد کرد.

مزایای JWT

  • توکن شامل تمام اطلاعات لازم برای احراز هویت کاربر است.
  • اجتناب از اتکا به سرورها و پایگاه داده های احراز هویت متمرکز آسان است.
  • تأیید مستلزم بررسی امضا و چندین عامل دیگر است.
  •  JWT یک توکن با عمر متوسط ​​با تاریخ انقضای مشخص شده بین چند هفته تا بیشتر است
  • مقیاس پذیری در سخت افزار وب سرور معاصر آسان است…

4. امضاهای HTTP

در JWT، هدر مجوز دارای base64 کدگذاری و امضا شده است. اگر کسی توکن و درخواست JWT را دریافت کند، می تواند بدنه درخواست HTTP را به روز کند. امضاهای HTTP به مشتری اجازه می دهد پیام HTTP را امضا کند. بنابراین، آن دیگران می توانند درخواست را در شبکه لمس کنند.

آمازون، فیسبوک و گوگل از HTTP Signature استفاده می کنند. در سال 2016، امضای پیام های HTTP وارد عمل شد. این یک کار جدید در مشخصات مشخصات است. طبق این مشخصات، مزیت امضای پیام HTTP، به منظور یکپارچگی پیام سرتاسر. یک کلاینت می تواند با همان مکانیزم بدون نیاز به حلقه های زیاد احراز هویت کند.

آشنایی با آسیب پذیری های امنیتی API

OWASP همیشه مرجع پیشرو در مورد رایج ترین و موذی ترین مسائل امنیتی است که در نرم افزاری که ما روزانه از آن استفاده می کنیم، استفاده می کنیم و همه آنها توسط داده های غنی پشتیبان می شوند.

اگر پایه‌ای وجود داشته باشد که سازمان‌ها باید برای آن تلاش کنند، غلبه بر آن است OWASP API Security 10 در زیر فهرست شده است.

OWASP API SECURITY TOP 1O

API1: مجوز سطح شیء شکسته

API2: احراز هویت شکسته

API3: قرار گرفتن در معرض بیش از حد داده ها

API4: عدم محدودیت منابع و نرخ

API5: سطح عملکرد شکسته Auth

API6: تکلیف انبوه

API7: پیکربندی غلط امنیتی

API8: تزریق

API9: مدیریت نامناسب دارایی

API10: ثبت و نظارت ناکافی

بهترین شیوه های امنیت API

در اینجا برخی از رایج ترین راه ها برای بهبود امنیت API آورده شده است:

 

  1. آسیب پذیری های خود را مشخص کنید. 

 

نیاز به به روز نگه داشتن سیستم عامل، شبکه و اجزای API وجود دارد. به دنبال نقص هایی باشید که می تواند به مهاجمان اجازه دهد به API های شما دسترسی پیدا کنند. Sniffers مسائل امنیتی را شناسایی کرده و نشت داده ها را ردیابی می کند.

 

  1. سهمیه و گاز را قرار دهید.

 

سهمیه ای برای تعداد دفعات تماس API های شما و بررسی میزان استفاده در سابقه تعیین کنید. استفاده نادرست از یک API معمولاً با افزایش تماس ها نشان داده می شود. 

 

  1. از یک دروازه API برای اتصال به API خود استفاده کنید. 

 

دروازه های API نقطه اجرایی اولیه برای ترافیک API هستند. به شما این امکان را می دهد تا نحوه احراز هویت API های خود را کنترل و تجزیه و تحلیل کنید.

 

  1. از توکن ها استفاده کنید

 

هویت های قابل اعتماد ایجاد کنید. از نشانه هایی با آن هویت ها برای کنترل دسترسی به خدمات و منابع استفاده کنید.

 

  1. از رمزگذاری و امضای دیجیتال استفاده کنید.

 

داده های خود را با استفاده از TLS رمزگذاری کنید. از امضای دیجیتال برای تأیید اینکه فقط افراد مجاز به داده ها دسترسی دارند و آنها را ویرایش می کنند استفاده کنید.

 

  1. روی امنیت تمرکز کنید.

 

API ها هرگز نباید اتفاقی در نظر گرفته شوند. سازمان ها با ناتوانی در ایمن سازی API ها، ضرر زیادی خواهند داشت. در نتیجه، امنیت را در اولویت قرار دهید و آن را در API های خود قرار دهید.

 

  1. اعتبار سنجی ورودی

 

هرگز داده ها را از طریق API به نقطه پایانی ارسال نکنید بدون اینکه ابتدا آن را تأیید کنید.

 

  1. از محدودیت نرخ استفاده کنید. 

 

محدود کردن درخواست‌ها می‌تواند به جلوگیری از حملات انکار سرویس کمک کند.

 

  1. از یک سیستم احراز هویت و مجوز قوی استفاده کنید. 

 

وقتی API ها احراز هویت را اجرا نمی کنند، احراز هویت شکسته اتفاق می افتد.

از فن آوری های ورود و مجوز استفاده کنید که به خوبی تثبیت شده اند، مانند OAuth2.0 و OpenID Connect.

نتیجه

ما 10 آسیب‌پذیری برتر امنیتی OWASP API را برای محافظت بهتر از API بررسی کرده‌ایم.
 
ما می توانیم مدیریت ریسک را با استفاده از تکنیک های احراز هویت و مجوز به خوبی مدیریت کنیم.
 
به عنوان مثال، امضاهای HTTP، که آمازون، فیس بوک و گوگل همگی از آنها استفاده می کنند.
 
ما بهترین روش‌های API از جمله استفاده از نشانه‌ها و رمزگذاری را بررسی کرده‌ایم.
 
ما همچنین به امضای دیجیتال و همچنین اهمیت اعتبار سنجی ورودی اشاره کردیم.
 
مقاله ما در مورد بهترین شیوه های امنیت API را در اینجا بخوانید 2022 برای اطلاعات بیشتر در مورد OWASP API Security Top 10.
به روز رسانی اخبار امنیت سایبری شامل فناوری ایتالیا و تگزاس.

ایتالیا 15 میلیون یورو OpenAI را جریمه کرد، حمله سایبری به مراکز علوم بهداشتی فناوری تگزاس: خلاصه امنیت سایبری شما

23 دسامبر، 2024 بدون نظر

ایتالیا OpenAI را 15 میلیون یورو جریمه کرد، حمله سایبری به مراکز علوم بهداشتی فناوری تگزاس: خلاصه امنیت سایبری شما ایتالیا OpenAI را 15 میلیون یورو به دلیل نقض GDPR در ChatGPT جریمه کرد.

ادامه مطلب »
گرافیک جمع بندی اخبار امنیت سایبری با آخرین به روز رسانی ها

جستجوگر اعتبار وردپرس تروجانیزه شده 390,000 اعتبار را به سرقت می برد، آسیب پذیری حیاتی در Microsoft Azure MFA کشف شد: خلاصه امنیت سایبری شما

16 دسامبر، 2024 بدون نظر

جستجوگر اعتبار وردپرس تروجانیزه شده 390,000 اعتبار را به سرقت می برد، آسیب پذیری حیاتی در Microsoft Azure MFA کشف شد: جمع بندی امنیت سایبری جستجوگر اعتبار وردپرس تروجانیزه شده 390,000 اعتبار را در

ادامه مطلب »

اپل با اتهام جاسوسی از کارمندانش با شکایت روبرو می شود، کتابخانه Solana Web3.js در حمله زنجیره تامین به خطر افتاده است: جمع بندی امنیت سایبری شما

8 دسامبر، 2024 بدون نظر

اپل با اتهام جاسوسی از کارمندانش با شکایت روبرو شد، کتابخانه Solana Web3.js در حمله زنجیره تامین به خطر افتاد: جمع بندی امنیت سایبری شما اپل با متهم کردنش با شکایت روبرو شد

ادامه مطلب »

مزایا

AWS-Partner
AWS-Qualified-Software

شرکت ما

آدرس ما

Hailbytes

9511 کوئین نگهبان CT.

لورل، MD 20723

تلفن: (732) 771 9995

ایمیل: info@hailbytes.com

مطلع باشید؛ امن بمان!

در خبرنامه ی هفتگی ما آبونه شوید

آخرین اخبار امنیت سایبری را مستقیماً در صندوق ورودی خود دریافت کنید.