Security API

• Security API
  • Зачем
  • Виды атак
  • Паттерны
  • Схемы аутентификации
  • REST

Зачем

Обеспечение информационной безопасности API.

Виды атак

• Zombie AP
• Shadow API
• Внедрение кода (SQL injection)
• Cookie не корректно настроен CORS
• SMS Leak
• ATO-атаки
• DDOS
• Man In the Middle (MitM)

Паттерны

• OWASP TOP 10
  • Tоп-10 API Security Risks 2023
  • Угрозы OWASP подробно
  • CheckList
• Проверка API
  • API Security Audit
  • check api tools
  • tools for check api sec
  • apisecurity.io
  • Control levels of user authorisation
  • API Security tools and resources
  • openapi security
• Ролевой доступ (RBAC, ABAC и тп) к методам АПИ
• Использование SSL
• Валидация входных данных
• Web Application Firewall (WAF)
• IP Whitelisting
• Rate Limiting
• Error Handling
• API Versioning

Схемы аутентификации

Схемы аутентификации

• Token-Based Authentication
  • Bearer Authentication
  • JWT Bearer обычно токен в формате JWT
  • Unlike API key and Basic authentication, token-based authentication offers higher security. Tokens can expire, reducing the window of vulnerability if compromised, and we can cryptographically sign for added security.
  • Аутентификация OIDC - Авторизация OAuth
• API key - Данная схема обеспечивает защиту от несанкционированного использования API и позволяет осуществлять, например, проверку лимитов использования API.
  • Лучше перейти на Bearer Token, JWT Token
  • .NET Core example in header
    • “X-API-Key” swagger
    • Authorization header ‘Authorization’: ‘Bearer YOUR_API_KEY’ RFC 7235
  • key rotation and safe storage (Key Value Store - Vault), which leaves their API keys vulnerable to theft
  • Store API keys as hashed values
  • Implement rate limiting
• cookie
• ntlm ldap
• http basic
• digest
• form
• swt
• ws security
• ssl client
• HMAC

REST

• REST Best Practice - TLS, OAuth, OIDC SSO
• Исключать создание методов массовых изменений