۱۰ توصیه امنیتی OWASP برای APIها چیست؟

OWASP یک سازمان غیرانتفاعی با هدف بهبود امنیت برنامه‌های وب است که منابع رایگان زیادی برای ساخت برنامه‌های وب ایمن‌تر ارائه می‌دهد. یکی از منابع پرارجاع این سازمان OWASP Top 10 است که ده مورد نگرانی بزرگ امنیتی برنامه‌های وب را در یک فهرست می‌گنجاند. OWASP همچنین فهرست جداگانه و مشابهی در زمینه API دارد که برای بهبود تجربیات وب و موبایل ضروری هستند.

APIها می‌توانند مزایای رقابتی را برای کسب‌وکارها از طریق ارائه اطلاعات تجاری، تسهیل استقرار ابری و امکان ادغام قابلیت‌های هوش مصنوعی فراهم کنند. از طرفی، APIها می‌توانند ریسک‌های احتمالی جدیدی را با اجازه‌دادن به ذینفان برای دسترسی به برنامه‌ها، اشتراک‌گذاری داده‌ها و اجرای فرایندهای حساس به وجود آورند.

در این فهرست که اخیراً در سال ۲۰۲۳ منتشر شده است، مسائل کلیدی که سازمان‌ها باید برای بهبود حفاظت از APIها، برنامه‌ها و داده‌های خود به آن‌ها توجه کنند، مطرح می شود. این فهرست شامل موارد زیر است:

۱. نقص در مجوزدهی در سطح شی: مهاجمان ممکن است سعی کنند از نقاط پایانی API که در برابر نقص در مجوزدهی سطح شیء آسیب‌پذیر هستند، سوءاستفاده کنند. آن‌ها می‌توانند شناسه‌های شی را در یک درخواست دستکاری کنند تا بدون مجوز به داده‌های حساس دسترسی پیدا کنند.

۲. نقص در احراز هویت: اگر احراز هویت به‌درستی انجام نشود، مهاجمان می‌توانند خود را به‌جای کاربران API جا بزنند و به داده‌های محرمانه دسترسی پیدا کنند.

۳. نقص در مجوزدهی در سطح ویژگی شیء: عدم وجود مجوز یا اعتبارسنجی نادرست مجوز در سطح ویژگی شیء می‌تواند اطلاعات را در معرض دسترسی یا دستکاری غیرمجاز قرار دهد.

۴. مصرف نامحدود منابع: بسیاری از APIها تعاملات یا مصرف منابع مشتری را محدود نمی‌کنند. مهاجمان ممکن است حجم بالایی از درخواست‌های API تولید کنند که منجر به هزینه‌های عملیاتی بالاتر و عدم سرویس دهی می شود.

۵. نقص مجوزدهی در سطح عملکرد: مهاجمان ممکن است درخواست‌های API قانونی را به نقطه پایانی اشتباه ارسال کنند و امکان دسترسی به منابع یا عملکردهای مدیریتی سایر کاربران بدهند.

۶. دسترسی نامحدود به جریان‌های حساس تجاری: APIها ممکن است یک جریان تجاری (مانند ارسال نظر در یک وب‌سایت، خرید محصول یا رزرو) را در معرض دید قرار دهند و به مهاجمان امکان سواستفاده بدهند.

۷. جعل درخواست از سمت سرور: یک API ممکن است بدون اعتبارسنجی URL ارائه‌شده توسط کاربر، منبعی از راه دور دریافت کند. به‌عنوان مثال، کاربر ممکن است URL‌ای برای بارگذاری یک تصویر به یک پلتفرم رسانه‌ اجتماعی ارائه دهد. این URL ممکن است سپس به اسکن پورت در یک شبکه داخلی بپردازد.

۸. مدیریت نامناسب موجودی : APIها می‌توانند نقاط پایانی بیشتری نسبت به برنامه‌های وب قدیمی در معرض دید قرار دهند. اگر سازمان‌ها نسخه‌های API مستقر را شناسایی نکنند، ممکن است نسخه‌ها و نقاط پایانی منسوخ شده را در معرض خطر قرار دهند.

۹. مصرف ناایمن APIها: مهاجمان ممکن است به جای هدف قرار دادن یک API به‌طور مستقیم، به خدمات واسطی که با APIها تعامل دارند، حمله کنند. آن‌ها متوجه می‌شوند که توسعه‌دهندگان اغلب به داده‌های دریافتی از APIهای طرف واسط بیشتر از ورودی‌های کاربران اعتماد می‌کنند.

بین فهرست OWASP و فهرست API از OWASP تداخل‌هایی وجود دارد. به‌عنوان مثال، نقص در کنترل دسترسی اولین مشکل در فهرست OWASP است و انواع مختلفی از نقص در احراز هویت و مجوزدهی در میان پنج مشکل امنیتی اول در فهرست API وجود دارد. علاوه بر این، پیکربندی نادرست امنیت و جعل درخواست از سمت سرور نیز در هر دو فهرست دیده می‌شود. بااین‌حال، APIها خطرات بیشتری نسبت به برنامه‌های وب دارند و توسعه‌دهندگان باید هر دو فهرست را در نظر بگیرند.

نقش Cloudflare در کاهش خطرات امنیتی API 

Cloudflare API Gateway به حفظ امنیت و عملکرد صحیح APIها از طریق قابلیت‌های API، مدیریت و نظارت متمرکز کمک می‌کند. API Gateway بخشی از مجموعه امنیت برنامه‌های Cloudflare است که قابلیت‌های اضافی برای جلوگیری از ربات‌ها، حملات DDoS و حملات برنامه‌ را ارائه می‌دهد.