Безопасность API:

28 сентября 2024

Аутентификация

• Не используйте Basic Auth. Используйте стандартную проверку подлинности (например: JWT, OAuth).

• Не изобретайте велосипед для аутентификации, создании токенов, хранения паролей. Используйте стандарты, проверенные библиотеки.

• Используйте Max Retry и функции jail во время аутентификации.

• Используйте шифрование для всех конфиденциальных данных.

JWT (JSON Web Token)

Контроль доступа

OAuth

Запрос

• Используйте соответствующий HTTP-метод в соответствии с операцией: GET (чтение), POST (создание), PUT / PATCH (замена / обновление) и DELETE (удаление), а также ответьте 405 Method Not Allowed, если запрошенный метод не подходит для запрашиваемого ресурса.
• Проверяй тип данных в заголовке Accept, чтобы разрешить только поддерживаемые форматы (например, application/xml, application/json и т.д.) И отвечайте 406 Not Acceptable, если тип не поддерживается.
• Проверяйте, сможете ли вы обработать тип получаемых данных (например, application/x-www-form-urlencoded, multipart/form-data, application/json и т.д.).
• Проверьте пользовательский ввод во избежание распространенных уязвимостей (например: XSS, SQL-инъекций, удаленное выполнение кода и т.д.).
• Не передавайте конфиденциальные данные (учетные данные, пароли, токены или ключи API) в URL-адресе, вместо него используйте стандартный заголовок Authorization.
• Используйте только шифрование на стороне сервера.
• Используйте единый API-шлюз, чтобы можно было настроить кеширование, ограничение на кол-во запросов, Spike Arrest, а также динамическое развертывание API.

Processing

Ответ

• Отправляйте заголовок X-Content-Type-Options: nosniff.
• Отправляйте заголовок X-Frame-Options: deny.
• Отправляйте заголовок Content-Security-Policy: default-src 'none'.
• Удалите заголовки, которые могут помочь злоумышленнику в исследовании вашего ресурса на уязвимости - X-Powered-By, Server, X-AspNet-Version и т.д.
• Зафиксируйте Content-Type для вашего ответа, если вы возвращаете application/json, тогда запрос должен быть в application/json.
• Не возвращайте конфиденциальные данные, такие как учетные данные, пароли, токены.
• Возвращайте код состояния в соответствии с итогами обработки. (Например: 200 OK, 400 Bad Request, 401 Unauthorized, 405 Method Not Allowed и т.д.).