مٿيون OATH API خطرات
مٿيون OATH API خطرات: تعارف
جڏهن اهو استحصال ڪرڻ اچي ٿو، APIs شروع ڪرڻ لاء بهترين جڳهه آهن. API رسائي عام طور تي ٽن حصن تي مشتمل آهي. ڪلائنٽ ٽوڪن جاري ڪيا ويندا آهن هڪ اختيار ڪندڙ سرور طرفان، جيڪو APIs سان گڏ هلندو آهي. API ڪلائنٽ کان رسائي ٽوڪن حاصل ڪري ٿو ۽ انهن جي بنياد تي ڊومين جي مخصوص اختياري ضابطن کي لاڳو ڪري ٿو.
جديد سافٽ ويئر ايپليڪيشنون خطرن جي هڪ قسم جي لاء خطرناڪ آهن. سڀ کان تازو ڪارناما ۽ سيڪيورٽي خامين تي تيز رفتار رکو؛ انهن ڪمزورين لاءِ معيار جو هجڻ ضروري آهي ته حملي کان اڳ ايپليڪيشن سيڪيورٽي کي يقيني بڻايو وڃي. ٽئين پارٽي جي ايپليڪيشنون تيزيءَ سان OAuth پروٽوڪول تي ڀروسو ڪري رهيون آهن. صارفين کي هڪ بهتر مجموعي صارف تجربو هوندو، انهي سان گڏ تيز لاگ ان ۽ اختيار، هن ٽيڪنالاجي جي مهرباني. اهو روايتي اختيار کان وڌيڪ محفوظ ٿي سگهي ٿو ڇاڪاڻ ته صارفن کي ڏنل وسيلن تائين رسائي حاصل ڪرڻ لاءِ ٽئين پارٽي جي ايپليڪيشن سان پنهنجون سندون ظاهر ڪرڻ جي ضرورت ناهي. جڏهن ته پروٽوڪول پاڻ محفوظ ۽ محفوظ آهي، اهو طريقو لاڳو ٿئي ٿو جيڪو توهان کي حملو ڪرڻ لاءِ کليل ڇڏي سگهي ٿو.
جڏهن APIs کي ڊزائين ڪرڻ ۽ ميزباني ڪرڻ، هي آرٽيڪل عام OAuth جي ڪمزورين تي ڌيان ڏئي ٿو، انهي سان گڏ مختلف سيڪيورٽي گھٽتائي.
ٽوڙيل اعتراض جي سطح اختيار ڪرڻ
اتي هڪ وسيع حملي واري مٿاڇري آهي جيڪڏهن اختيار جي ڀڃڪڙي ڪئي وئي آهي ڇاڪاڻ ته APIs شيون تائين رسائي فراهم ڪن ٿيون. جيئن ته API جي رسائي لائق شيون لازمي طور تي تصديق ٿيل آهن، اهو ضروري آهي. هڪ API گيٽ وي استعمال ڪندي اعتراض جي سطح جي اختيار جي چڪاس کي لاڳو ڪريو. صرف انهن کي مناسب اجازت جي سندن سان رسائي جي اجازت ڏني وڃي.
ٽوڙيل استعمال ڪندڙ جي تصديق
غير مجاز ٽوڪن هڪ ٻيو بار بار طريقو آهي حملو ڪندڙن لاءِ APIs تائين رسائي حاصل ڪرڻ لاءِ. تصديق واري نظام کي هيڪ ڪيو وڃي ٿو، يا هڪ API ڪيئي غلطي سان بي نقاب ٿي سگھي ٿي. تصديق ٽوڪن ٿي سگهي ٿو هيڪرز پاران استعمال ڪيو ويو رسائي حاصل ڪرڻ لاء. ماڻهن کي صرف ان صورت ۾ تصديق ڪريو جڏهن انهن تي اعتبار ڪري سگهجي، ۽ مضبوط پاسورڊ استعمال ڪريو. OAuth سان، توهان صرف API چاٻين کان ٻاهر وڃو ۽ توهان جي ڊيٽا تائين رسائي حاصل ڪري سگهو ٿا. توهان کي هميشه اهو سوچڻ گهرجي ته توهان ڪنهن جاءِ ۾ ۽ ٻاهر ڪيئن ويندا. OAuth MTLS موڪليندڙ محدود ٽوڪن استعمال ڪري سگهجن ٿا گڏيل TLS سان گڏ انهي جي ضمانت ڏيڻ لاءِ ته گراهڪ غلط ڪم نه ڪن ۽ ٽوڪن کي غلط پارٽي ڏانهن منتقل ڪن جڏهن ته ٻين مشينن تائين رسائي.
API پروموشن:
گھڻي ڊيٽا جي نمائش
آخري پوائنٽن جي تعداد تي ڪا به پابنديون نه آھن جيڪي شايع ٿي سگھن ٿيون. اڪثر وقت، سڀئي خاصيتون سڀني صارفين لاء دستياب نه آهن. بلڪل ضروري کان وڌيڪ ڊيٽا کي ظاهر ڪرڻ سان، توهان پاڻ کي ۽ ٻين کي خطري ۾ وجهي ڇڏيو. حساس ظاهر ڪرڻ کان پاسو ڪريو معلومات جيستائين اهو بلڪل ضروري آهي. ڊولپرز وضاحت ڪري سگھن ٿا ته ڪنھن کي ڇا تائين رسائي آھي OAuth Scopes ۽ Claims استعمال ڪندي. دعوي بيان ڪري سگھي ٿي ڊيٽا جي ڪھڙي حصي کي صارف تائين رسائي آھي. سڀني APIs ۾ معياري ڍانچي کي استعمال ڪندي رسائي ڪنٽرول کي آسان ۽ آسان بڻائي سگهجي ٿو.
وسيلن جي کوٽ ۽ شرح جي حد
ڪاري ٽوپيون اڪثر ڪري استعمال ڪن ٿيون انڪار جي خدمت (DoS) حملن کي برٽ-فورس طريقي سان سرور کي ختم ڪرڻ ۽ ان ڪري ان جي اپٽائم کي صفر تائين گھٽائي. وسيلن تي ڪابه پابنديون نه آهن جن کي سڏيو وڃي ٿو، هڪ API هڪ ڪمزور حملي لاء خطرناڪ آهي. 'API گيٽ وي يا انتظامي اوزار استعمال ڪندي، توهان APIs لاءِ شرح پابنديون مقرر ڪري سگھو ٿا. فلٽرنگ ۽ صفحو شامل ڪيو وڃي، انهي سان گڏ جوابن کي محدود ڪيو وڃي.
سيڪيورٽي سسٽم جي غلط ترتيب
مختلف حفاظتي ٺاھ جوڙ ھدايتون ڪافي جامع آھن، ڇاڪاڻ ته سيڪيورٽي جي غلط ترتيب جي وڏي امڪان جي ڪري. ڪيتريون ئي ننڍيون شيون شايد توهان جي پليٽ فارم جي سيڪيورٽي کي خطرو ڪري سگهن ٿيون. اهو ممڪن آهي ته ڪارا ٽوپيون غير معمولي مقصدن سان حساس معلومات کي ڳولي سگھن ٿيون جيڪي خراب ٿيل سوالن جي جواب ۾ موڪليا ويا آهن، مثال طور.
ماس اسائنمينٽ
صرف ان ڪري جو هڪ آخري نقطو عوامي طور تي بيان نه ڪيو ويو آهي مطلب اهو ناهي ته اهو ڊولپرز طرفان رسائي نه ٿي سگهي. هڪ ڳجهو API شايد آساني سان مداخلت ڪري سگهجي ٿو ۽ هيڪرز پاران ريورس انجنيئر. هن بنيادي مثال تي هڪ نظر وٺو، جيڪو "نجي" API ۾ هڪ کليل بيئرر ٽوڪن استعمال ڪري ٿو. ٻئي طرف، عوامي دستاويز موجود ٿي سگھي ٿي ڪنهن شيءِ لاءِ جيڪا خاص طور تي ذاتي استعمال لاءِ آهي. ظاهر ڪيل معلومات شايد ڪارو ٽوپي ذريعي استعمال ڪري سگهجي ٿي نه صرف پڙهڻ لاءِ پر اعتراض جي خاصيتن کي به ترتيب ڏيڻ لاءِ. پنهنجو پاڻ کي هيڪر سمجھو جيئن توهان پنهنجي دفاع ۾ امڪاني ڪمزور پوائنٽس جي ڳولا ڪريو. صرف انهن کي اجازت ڏيو جيڪي مناسب حقن سان گڏ واپس آيا هئا. خطري کي گهٽائڻ لاءِ، API جوابي پيڪيج کي محدود ڪريو. جوابدارن کي اهڙا لنڪ شامل نه ڪرڻ گهرجن جيڪي بلڪل گهربل نه هجن.
ترقي يافته API:
غلط اثاثن جو انتظام
ڊولپر جي پيداوار کي وڌائڻ کان علاوه، موجوده ورزن ۽ دستاويز ضروري آهن توهان جي پنهنجي حفاظت لاءِ. نئين نسخن جي تعارف لاءِ تيار ڪريو ۽ پراڻي APIs جي ختم ٿيڻ کان اڳ ۾. پراڻن کي استعمال ۾ رهڻ جي اجازت ڏيڻ بدران نوان APIs استعمال ڪريو. هڪ API وضاحت دستاويزن لاءِ سچ جي بنيادي ماخذ طور استعمال ٿي سگهي ٿي.
جڙيل
APIs انجيڪشن لاءِ خطرناڪ آهن، پر ائين ئي ٽئين پارٽي ڊولپر ايپس آهن. خراب ڪوڊ استعمال ٿي سگھي ٿو ڊيٽا کي حذف ڪرڻ يا چوري ڪرڻ لاءِ ڳجهي معلومات، جهڙوڪ پاسورڊ ۽ ڪريڊٽ ڪارڊ نمبر. ان کان پري وٺڻ لاءِ سڀ کان اهم سبق اهو آهي ته ڊفالٽ سيٽنگن تي انحصار نه ڪيو وڃي. توهان جو انتظام يا گيٽ وي سپلائر توهان جي منفرد درخواست جي ضرورتن کي ترتيب ڏيڻ جي قابل هوندو. غلطي جي پيغامن ۾ حساس معلومات شامل نه ٿيڻ گهرجي. سڃاڻپ جي ڊيٽا کي سسٽم کان ٻاهر نڪرڻ کان روڪڻ لاء، ٽوڪن ۾ Pirwise Pseudonyms استعمال ٿيڻ گهرجي. اهو يقيني بڻائي ٿو ته ڪو به گراهڪ هڪ صارف جي سڃاڻپ ڪرڻ لاء گڏجي ڪم ڪري سگهي ٿو.
ناکافي لاگنگ ۽ نگراني
جڏهن هڪ حملو ٿئي ٿو، ٽيمن کي هڪ چڱي طرح سوچڻ واري رد عمل واري حڪمت عملي جي ضرورت آهي. ڊولپرز پڪڙڻ کان سواءِ ڪمزورين جو استحصال ڪندا رهندا جيڪڏهن قابل اعتماد لاگنگ ۽ مانيٽرنگ سسٽم موجود ناهي، جيڪو نقصان وڌائيندو ۽ ڪمپني بابت عوام جي تاثر کي نقصان پهچائيندو. سخت API مانيٽرنگ ۽ پيداوار جي آخري پوائنٽ جي جاچ واري حڪمت عملي اختيار ڪريو. سفيد ٽوپي جا امتحان ڪندڙ جيڪي جلد ئي ڪمزورين کي ڳوليندا آهن انهن کي انعام ڏيڻ گهرجي فضل واري اسڪيم سان. لاگ پيچرو بهتر ٿي سگھي ٿو صارف جي سڃاڻپ کي API ٽرانزيڪشن ۾ شامل ڪندي. پڪ ڪريو ته توهان جي API آرڪيٽيڪچر جي سڀني پرتن کي Access Token ڊيٽا استعمال ڪندي آڊٽ ڪيو وڃي.
ٿڪل
پليٽ فارم آرڪيٽيڪٽس شايد انهن جي سسٽم کي ليس ڪري سگھن ٿا هڪ قدم اڳتي حملو ڪندڙن جي قائم ڪيل معيار جي معيار تي عمل ڪندي. ڇاڪاڻ ته APIs شايد ذاتي طور تي سڃاڻپ ڪندڙ معلومات (PII) تائين رسائي فراهم ڪري سگھن ٿيون، اهڙين خدمتن جي حفاظت کي برقرار رکڻ ڪمپني جي استحڪام ۽ قانون سازي جي تعميل لاءِ اهم آهي جهڙوڪ GDPR. API Gateway ۽ Phantom Token Approach استعمال ڪرڻ کان سواءِ OAuth ٽوڪن سڌو سنئون API تي نه موڪليو.
ترقي يافته API:
