En Application Programming Interface (API) er en platform, hvorpå applikationer kommunikerer. API'er er udbredte og spiller en afgørende rolle i mange moderne softwarearkitekturer.
API-sikkerhed er praksis med at forhindre eller afbøde angreb på API'er. API'er er sårbare over for angreb, der har til hensigt at forstyrre applikationen eller phish for følsomme data.
API'er har mange sårbare punkter. Disse omfatter brudt godkendelse, hastighedsbegrænsning og uautoriseret kodeindsprøjtning. Sårbarheder som disse kan true din applikations ydeevne og integriteten af dens data. Heldigvis er der bedste praksis, du kan bruge til at sikre pålidelig API-sikkerhed.
1. Godkend
Uanset om du arbejder med REST, SOAP eller GraphQL, er API-godkendelse afgørende. Autentificering er processen med at verificere en brugers identitet, før de kan få adgang til et system.
Autentificering har bevæget sig væk fra kun at have adgangskoder til multi-faktor autentificeringsprocesser (MFA). MFA sikrer, at en bruger gennemfører mere end én verifikationskontrol, før han får adgang til deres konto.
Den mest almindelige MFA er to-trins autentificering, hvilket reducerer trusler i høj grad. Det kræver yderligere godkendelsesmetoder, såsom en kode sendt til et telefonnummer eller en e-mail-konto.
Totrinsprocessen reducerer chancerne for, at nogen får adgang til et system. Hvis de ikke har adgang til den anden godkendelsesadgangskode, vil de ikke have adgang.
2. Udnyt OAuth
OAuth er en effektiv måde at kontrollere API-sikkerhed på. Det er en åben protokol, der sikrer godkendelse fra web-, mobil- og desktopapplikationer på en enkel og standardmetode.
Det er en token-baseret godkendelsesramme, der styrer adgangen til API'en. OAuth tillader tredjepartsadgang til information uden at afsløre brugerens legitimationsoplysninger.
3. Valider input
Datavalidering involverer typekontrol af indgående data. Denne praksis hjælper med at beskytte mod angreb som kodeinjektion eller cross-site scripting.
Du bør bygge datavalideringstjek ved alle endepunkter. Sådanne kontroller omfatter validering af syntaks og værdi af data, som API'en modtager.
Nogle almindelige inputvalideringsmetoder omfatter:
- JSON- og XML-valideringsskemaer
- Regelmæssige udtryk
- Kontrol af datatyper
- Det mindste og største værdiinterval for tal
- Mindste og største længder for strenge
Validering af input forhindrer din API i at acceptere ondsindede data i dit system. Django REST-rammen har fremragende funktioner til at hjælpe med at validere dit API-input.
Du kan teste din API med input fuzzing. Fuzzing tester tilfældige data mod API'et, indtil du opdager et sikkerhedsproblem. En sikker API vil returnere en fejlmeddelelse, hvis den fødes data, der ikke er standard.
4. Brug Rate Limiting
Satsbegrænsning er en måde at beskytte serveren på, når der er for mange anmodninger. Det forhindrer serveren i at overarbejde og lukke ned.
Satsbegrænsning beskytter din applikation mod angreb såsom lammelsesangreb (DoS). Efterhånden som API'er får flere brugere, er de mere tilbøjelige til sådanne angreb. DoS-angreb påvirker din applikations ydeevne eller nedbryder den.
Med hastighedsbegrænsning kan brugere kun få adgang til et bestemt antal anmodninger på det planlagte tidspunkt. API'en blokerer brugernes adgang indtil næste session, hvis de overskrider deres fastsatte grænse.
For eksempel kan du indstille anmodningsgrænsen for et nyhedswebsted til 1.000 anmodninger i timen. Når en bruger overskrider denne grænse, vil de ikke se nogen nye elementer i applikationens feed. Anmodningerne genoptages derefter, når fristen er udløbet.
Satsbegrænsning er også praktisk, når du vil tjene penge på API'en. Du kan have kategorier for brugere med forskellige takstgrænser. Dette kan tilskynde folk til at betale mere, hvis de skal fremsætte et større antal anmodninger.
5. Filtrer data
API'er bør kun dele nødvendige data. Du kan teste din API ved hjælp af tilfældige data for at kontrollere, hvilken slags data den returnerer. Sørg for, at den ikke afslører sikkerhedsoplysninger såsom API-nøgler eller adgangskoder.
Giv nok endepunkter til forskellige slags data. Dette vil give brugerne adgang til de specifikke oplysninger, de har brug for, og undgå at hente irrelevante data fra databasen.
Der er flere måder at filtrere data på et API-kald på. Det nemmeste er at bruge URL-parametre. Du kan udføre grundlæggende filtrering ved at filtrere egenskabsnavne.
Parametre kan dog kun filtrere eksakte matches. Hvis du har brug for at give mere komplekse matches, bliver du nødt til at levere alternative metoder.
6. Brug en API-gateway
En API-gateway kan give forbedret sikkerhed, overvågning og overordnet API-styring. Det fungerer som et centralt punkt for al API-trafik. Gatewayen sidder mellem brugere og applikationens backend.
En API-gateway autoriserer og godkender trafik. Det har også kontrol over, hvordan du bruger API'erne. En gateway identificerer sårbarheder i netværket, komponenter, drivere og operativsystem.
Gateways cam rapporterer om API-svage punkter og opdager databrud. De kan også advare om sårbarheder og identificere punkter, hvor der sandsynligvis vil opstå sikkerhedstrusler.
7. Forebyg kodeinjektion
Beskyttelse af din API mod kodeinjektionsfejl er afgørende. Kodeinjektion involverer at tage data til en tolk fra en ikke-pålidelig kilde. Dette kan være via en kommando eller databaseforespørgsel.
Cyberangribere kan sende ondsindede data for at manipulere API-fortolkeren. Dataene kan være kommandoer til at manipulere systemet. Ligeledes kan de forespørge efter følsomme data uden at gå igennem den nødvendige autorisation.
API-sårbarheder, såsom ukorrekt datavalideringstjek, øger chancerne for angreb. Som udvikler bør du overveje at have følgende tjek i din kode:
- Begræns antallet af tilladte tegn, f.eks. ved hjælp af regulære udtryk.
- Har et standard dataformat.
- Angiv typen og mængden af forventede data.
Forebyggelse af kodeinjektion kan hjælpe med at skabe en pålidelig cybersikkerhedsramme. Angribere vil have svært ved at manipulere eller udtrække data fra din applikation.
Hvorfor overveje bedste praksis for API-sikkerhed?
Med den stigende brug af API'er er cybertrusler mere og mere almindelige. Det er vigtigt at overvåge, teste og administrere din API-sikkerhed. Denne praksis sikrer sikkerheden af dine data og software.
Du bør prioritere API-sikkerhed sammen med sikkerhedsforanstaltninger for hele applikationen. Identificer sårbare punkter og adresser dem ved hjælp af passende sikkerhedstjek.
Udnyttelse af API-sikkerhed optimerer din applikations ydeevne. Det hjælper med at identificere og afbøde sikkerhedsbrud uden dyre værktøjer og software. Den identificerer også systemsårbarheder og forhindrer derfor fremtidige angreb.
