शीर्ष शपथ एपीआई भेद्यताएं
शीर्ष शपथ API भेद्यताएं: परिचय
जब शोषण की बात आती है, तो एपीआई शुरू करने के लिए सबसे अच्छी जगह है। API पहुंच में आमतौर पर तीन भाग होते हैं। क्लाइंट को प्राधिकरण सर्वर द्वारा टोकन जारी किए जाते हैं, जो एपीआई के साथ चलता है। एपीआई क्लाइंट से एक्सेस टोकन प्राप्त करता है और उनके आधार पर डोमेन-विशिष्ट प्राधिकरण नियम लागू करता है।
आधुनिक सॉफ़्टवेयर एप्लिकेशन विभिन्न प्रकार के खतरों के प्रति संवेदनशील हैं। सबसे हालिया कारनामों और सुरक्षा खामियों पर गति बनाए रखें; इन कमजोरियों के लिए बेंचमार्क होने से हमले होने से पहले एप्लिकेशन सुरक्षा सुनिश्चित करने के लिए आवश्यक है। तृतीय-पक्ष एप्लिकेशन तेजी से OAuth प्रोटोकॉल पर भरोसा कर रहे हैं। इस तकनीक की बदौलत उपयोगकर्ताओं के पास बेहतर समग्र उपयोगकर्ता अनुभव के साथ-साथ तेज़ लॉगिन और प्राधिकरण होगा। यह पारंपरिक प्राधिकरण की तुलना में अधिक सुरक्षित हो सकता है क्योंकि उपयोगकर्ताओं को किसी दिए गए संसाधन तक पहुँचने के लिए तृतीय-पक्ष एप्लिकेशन के साथ अपनी साख का खुलासा नहीं करना पड़ता है। जबकि प्रोटोकॉल अपने आप में सुरक्षित और सुरक्षित है, जिस तरह से इसे लागू किया जाता है वह आपको हमला करने के लिए खुला छोड़ सकता है।
एपीआई को डिजाइन और होस्ट करते समय, यह लेख विशिष्ट OAuth कमजोरियों के साथ-साथ विभिन्न सुरक्षा कमजोरियों पर केंद्रित है।
टूटी हुई वस्तु स्तर प्राधिकरण
यदि एपीआई वस्तुओं तक पहुंच प्रदान करता है, तो प्राधिकरण का उल्लंघन होने पर एक विशाल हमले की सतह है। चूंकि एपीआई-सुलभ वस्तुओं को प्रमाणित किया जाना चाहिए, यह आवश्यक है। एपीआई गेटवे का उपयोग करके ऑब्जेक्ट-स्तरीय प्राधिकरण जांच लागू करें। केवल उचित अनुमति प्रमाण-पत्र वाले लोगों को ही पहुंच की अनुमति दी जानी चाहिए।
टूटा हुआ उपयोगकर्ता प्रमाणीकरण
अनधिकृत टोकन हमलावरों के लिए एपीआई तक पहुंच प्राप्त करने का एक और लगातार तरीका है। प्रमाणीकरण प्रणाली को हैक किया जा सकता है, या कोई एपीआई कुंजी गलती से उजागर हो सकती है। प्रमाणीकरण टोकन हो सकता है हैकर्स द्वारा उपयोग किया जाता है पहुँच प्राप्त करने के लिए। लोगों को तभी प्रमाणित करें जब उन पर भरोसा किया जा सके, और मजबूत पासवर्ड का उपयोग करें। OAuth के साथ, आप मात्र API कुंजियों से परे जा सकते हैं और अपने डेटा तक पहुँच प्राप्त कर सकते हैं। आपको हमेशा इस बारे में सोचना चाहिए कि आप किसी जगह के अंदर और बाहर कैसे जाएंगे। OAuth MTLS प्रेषक प्रतिबंधित टोकन का उपयोग म्युचुअल टीएलएस के संयोजन के साथ किया जा सकता है ताकि यह गारंटी दी जा सके कि ग्राहक अन्य मशीनों तक पहुँचने के दौरान गलत व्यवहार नहीं करते हैं और गलत पार्टी को टोकन पास नहीं करते हैं।
एपीआई प्रचार:
अत्यधिक डेटा एक्सपोज़र
प्रकाशित किए जा सकने वाले समापन बिंदुओं की संख्या पर कोई प्रतिबंध नहीं है। अधिकांश समय, सभी सुविधाएँ सभी उपयोगकर्ताओं के लिए उपलब्ध नहीं होती हैं। नितांत आवश्यक से अधिक डेटा उजागर करके, आप स्वयं को और दूसरों को खतरे में डालते हैं। संवेदनशील खुलासा करने से बचें करें- जब तक यह बिल्कुल आवश्यक न हो। डेवलपर यह निर्दिष्ट कर सकते हैं कि OAuth दायरे और दावों का उपयोग करके किसके पास किस तक पहुंच है। दावे निर्दिष्ट कर सकते हैं कि उपयोगकर्ता के पास डेटा के किन अनुभागों तक पहुंच है। सभी एपीआई में एक मानक संरचना का उपयोग करके अभिगम नियंत्रण को सरल और प्रबंधित करना आसान बनाया जा सकता है।
संसाधनों की कमी और दर सीमित करना
ब्लैक हैट्स अक्सर सेवा से इनकार (डीओएस) हमलों का उपयोग सर्वर को जबरदस्त करने के क्रूर बल के तरीके के रूप में करते हैं और इसलिए इसके अपटाइम को शून्य तक कम कर देते हैं। कहे जा सकने वाले संसाधनों पर कोई प्रतिबंध नहीं होने के कारण, एक एपीआई दुर्बल करने वाले हमले के प्रति संवेदनशील है। 'एपीआई गेटवे या प्रबंधन उपकरण का उपयोग करके, आप एपीआई के लिए दर प्रतिबंध निर्धारित कर सकते हैं। फ़िल्टरिंग और पेजिनेशन को शामिल किया जाना चाहिए, साथ ही उत्तरों को प्रतिबंधित किया जाना चाहिए।
सुरक्षा प्रणाली का गलत विन्यास
सुरक्षा गलत कॉन्फ़िगरेशन की महत्वपूर्ण संभावना के कारण विभिन्न सुरक्षा कॉन्फ़िगरेशन दिशानिर्देश काफी व्यापक हैं। कई छोटी-छोटी चीज़ें आपके प्लेटफ़ॉर्म की सुरक्षा को ख़तरे में डाल सकती हैं। यह संभव है कि गुप्त उद्देश्यों वाले ब्लैक हैट्स, उदाहरण के तौर पर विकृत प्रश्नों के जवाब में भेजी गई संवेदनशील जानकारी की खोज कर सकते हैं।
बड़े पैमाने पर असाइनमेंट
सिर्फ इसलिए कि एक समापन बिंदु को सार्वजनिक रूप से परिभाषित नहीं किया गया है, इसका मतलब यह नहीं है कि इसे डेवलपर्स द्वारा एक्सेस नहीं किया जा सकता है। एक गुप्त एपीआई को हैकर्स द्वारा आसानी से इंटरसेप्ट और रिवर्स-इंजीनियर किया जा सकता है। इस मूल उदाहरण पर एक नज़र डालें, जो एक "निजी" एपीआई में खुले बियरर टोकन का उपयोग करता है। दूसरी ओर, सार्वजनिक दस्तावेज़ीकरण किसी ऐसी चीज़ के लिए मौजूद हो सकता है जो विशेष रूप से व्यक्तिगत उपयोग के लिए है। उजागर जानकारी का उपयोग ब्लैक हैट्स द्वारा न केवल पढ़ने बल्कि वस्तु विशेषताओं में हेरफेर करने के लिए भी किया जा सकता है। अपने बचाव में संभावित कमजोर बिंदुओं की खोज करते समय अपने आप को एक हैकर मानें। केवल उचित अधिकारों वाले लोगों को ही लौटाई गई चीज़ों तक पहुंच की अनुमति दें। भेद्यता को कम करने के लिए, एपीआई प्रतिक्रिया पैकेज को सीमित करें। उत्तरदाताओं को ऐसा कोई लिंक नहीं जोड़ना चाहिए जिसकी बिल्कुल आवश्यकता न हो।
प्रचारित एपीआई:
अनुचित संपत्ति प्रबंधन
डेवलपर उत्पादकता बढ़ाने के अलावा, वर्तमान संस्करण और दस्तावेज़ आपकी अपनी सुरक्षा के लिए आवश्यक हैं। नए संस्करणों को पेश करने और पुराने एपीआई के बहिष्करण के लिए पहले से तैयारी करें। पुराने API को उपयोग में रहने देने के बजाय नए API का उपयोग करें। प्रलेखन के लिए सत्य के प्राथमिक स्रोत के रूप में एक एपीआई विशिष्टता का उपयोग किया जा सकता है।
इंजेक्शन
एपीआई इंजेक्शन के लिए असुरक्षित हैं, लेकिन तीसरे पक्ष के डेवलपर ऐप्स भी हैं। दुर्भावनापूर्ण कोड का उपयोग डेटा को हटाने या गोपनीय जानकारी, जैसे पासवर्ड और क्रेडिट कार्ड नंबर चोरी करने के लिए किया जा सकता है। इससे सबसे महत्वपूर्ण सबक यह है कि डिफ़ॉल्ट सेटिंग्स पर निर्भर न रहें। आपका प्रबंधन या गेटवे आपूर्तिकर्ता आपकी अनूठी एप्लिकेशन आवश्यकताओं को समायोजित करने में सक्षम होना चाहिए। त्रुटि संदेशों में संवेदनशील जानकारी शामिल नहीं होनी चाहिए। पहचान डेटा को सिस्टम के बाहर लीक होने से रोकने के लिए, टोकन में जोड़ीदार छद्मनामों का उपयोग किया जाना चाहिए। यह सुनिश्चित करता है कि उपयोगकर्ता की पहचान करने के लिए कोई क्लाइंट एक साथ काम नहीं कर सकता है।
अपर्याप्त लॉगिंग और निगरानी
जब कोई हमला होता है, तो टीमों को एक सुविचारित प्रतिक्रिया रणनीति की आवश्यकता होती है। यदि एक विश्वसनीय लॉगिंग और निगरानी प्रणाली मौजूद नहीं है, तो डेवलपर्स बिना पकड़े कमजोरियों का फायदा उठाना जारी रखेंगे, जिससे नुकसान बढ़ेगा और कंपनी के बारे में जनता की धारणा को नुकसान पहुंचेगा। एक सख्त एपीआई निगरानी और उत्पादन समापन बिंदु परीक्षण रणनीति अपनाएं। व्हाइट हैट टेस्टर जो जल्दी कमजोरियों का पता लगाते हैं उन्हें इनाम योजना से पुरस्कृत किया जाना चाहिए। एपीआई लेनदेन में उपयोगकर्ता की पहचान को शामिल करके लॉग ट्रेल में सुधार किया जा सकता है। सुनिश्चित करें कि एक्सेस टोकन डेटा का उपयोग करके आपके एपीआई आर्किटेक्चर की सभी परतों का ऑडिट किया जाता है।
निष्कर्ष
प्लेटफ़ॉर्म आर्किटेक्ट स्थापित भेद्यता मानदंडों का पालन करके हमलावरों से एक कदम आगे रखने के लिए अपने सिस्टम को लैस कर सकते हैं। क्योंकि एपीआई व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) तक पहुंच प्रदान कर सकते हैं, ऐसी सेवाओं की सुरक्षा बनाए रखना कंपनी की स्थिरता और जीडीपीआर जैसे कानून के अनुपालन दोनों के लिए महत्वपूर्ण है। किसी API गेटवे और फ़ैंटम टोकन दृष्टिकोण का उपयोग किए बिना किसी API पर सीधे OAuth टोकन न भेजें।
प्रचारित एपीआई:
