Как обеспечить безопасность REST API
Spread the love
Перевод статьи: Zbigniew Banach — How to Ensure REST API Security
WEB API приложений обеспечивают серверную часть для современных веб-приложений и мобильных приложений. Вызовы веб-API составляют более 80% всего веб-трафика, и киберпреступники все чаще ориентируются на API-интерфейсы, поэтому обеспечение безопасности веб-API имеет решающее значение. REST API — наиболее распространенный тип веб-API для веб-сервисов. Давайте посмотрим, что вы можете сделать, чтобы обеспечить безопасность REST API.
Что такое REST API?
REST (сокращение от REpresentational State Transfer) — это определенная архитектура программного обеспечения для веб-разработки, обычно используемая для HTTP-взаимодействия. RESTful API (или просто REST API) — это запросы от клиентского ПО к серверному ПО, которые следуют принципам REST, позволяя веб-клиентам и серверам взаимодействовать с огромным разнообразием веб-ресурсов. API REST используют стандартные методы HTTP (имена методов соответствуют определенным глаголам GET/POST/PUT/DELETE/HEAD) и коды состояния для обеспечения некоторого уровня стандартизации.
Доступ к ним осуществляется через HTTP-URL и широко используются для веб-сервисов.
Примечание. API-интерфейсы REST не имеют состояния, как и сам протокол HTTP, что означает, что они не хранят никакой информации о текущих соединениях или сеансах (то есть каждый запрос не зависит от предыдущих). Веб-сервисы RESTful предоставляют способы доступа к ресурсам и управления ими, в то время как управление сеансом должно обрабатываться серверным приложением.
Два уровня безопасности REST API
Прежде чем мы перейдем к техническим деталям, следует отметить одну важную вещь. Веб-API предоставляет интерфейс для веб-приложения, поэтому вам нужно думать о безопасности на двух уровнях: доступ к API и доступ к приложению.
На уровне API вам необходимы правильная аутентификация, авторизация, права доступа и т. д., Чтобы гарантировать, что только разрешенные клиенты могут использовать интерфейс и выполнять только разрешенные операции.
На уровне приложения вы должны убедиться, что конечные точки вашего приложения (то есть URL-адреса, используемые для доступа к интерфейсу) не уязвимы для атак, которые проходят через интерфейс или обходят его.
Давайте посмотрим, как вы можете обеспечить безопасность REST API на этих двух уровнях. Подробное обсуждение рекомендаций по безопасности API см. OWASP REST Security Cheat Sheet.
Обеспечение безопасного доступа к API
Большинство веб-API открыты для Интернета, поэтому им нужны подходящие механизмы безопасности для предотвращения злоупотреблений, защиты конфиденциальных данных и обеспечения доступа к ним только аутентифицированных и авторизованных пользователей.
Безопасность соединения
Безопасность начинается с самого соединения HTTP. API-интерфейсы Secure REST должны предоставлять только конечные точки HTTPS, чтобы гарантировать, что вся связь API-интерфейса шифруется с использованием SSL/TLS. Это позволяет клиентам аутентифицировать службу и защищает учетные данные API и передаваемые данные.
Контроль доступа к API
Многие веб-API доступны только для аутентифицированных пользователей, например, потому что они являются частными или требуют регистрации или оплаты. Поскольку REST API не имеют состояния, управление доступом осуществляется локальными конечными точками. Наиболее распространенные методы аутентификации REST API:
- Базовая аутентификация HTTP (HTTP Basic Authentication): учетные данные отправляются непосредственно в заголовках HTTP в кодировке Base64 без шифрования. Это самый простой метод аутентификации и самый простой в реализации. Он также наименее безопасный, поскольку конфиденциальные данные передаются в виде простого текста, поэтому его следует использовать только в сочетании с HTTPS.
- Веб-токены JSON (JSON Web Tokens — JWT): учетные данные и другие параметры доступа отправляются в виде структур данных JSON. Эти токены доступа могут быть подписаны криптографически и являются предпочтительным способом управления доступом к API REST.
См. OWASP JWT Cheat для краткого обзора веб-токенов JSON и RFC 7519 для получения полной спецификации. - OAuth: стандартные механизмы OAuth 2.0 могут использоваться для аутентификации и авторизации. OpenID Connect обеспечивает безопасную аутентификацию через OAuth 2.0. Например, API Google используют OAuth 2.0 для аутентификации и авторизации.
См. OWASP JWT Cheat для краткого обзора веб-токенов JSON и RFC 7519 для получения полной спецификации.Авторизация пользователя с помощью ключей API
Ключи API предоставляют способ управления доступом к общедоступным службам REST. Операторы общедоступных веб-служб могут использовать ключи API для принудительного ограничения скорости вызовов API и уменьшение воздействия атак типа «отказ в обслуживании». Для монетизированных услуг организации могут использовать ключи API для предоставления доступа на основе приобретенного плана доступа.
Клиентские ограничения API
Чтобы минимизировать риски безопасности, операторы службы REST должны ограничивать подключение клиентов минимальными возможностями, необходимыми для службы.
Это начинается с ограничения поддерживаемых методов HTTP, чтобы убедиться, что неправильно настроенные или злонамеренные клиенты не могут выполнять никаких действий, выходящих за пределы спецификации API и разрешенного уровня доступа. Например, если API разрешает только запросы GET, POST и другие типы запросов должны быть отклонены с кодом ответа 405 Method not allowed.
Защита приложений, которые предоставляют API
Как только клиент получит законный доступ, вам необходимо защитить основное веб-приложение от некорректных и вредоносных данных. Вызовы и ответы API REST также могут включать конфиденциальные данные, которыми необходимо управлять.
Конфиденциальные данные в API-интерфейсе
Вызовы API часто включают учетные данные, ключи API, токены сеансов и другую конфиденциальную информацию. Если эти данные включены непосредственно в URL-адреса, эти данные могут быть сохранены в журналах веб-сервера и могут быть украдены, если к журналам получать доступ злоумышленники.
Чтобы избежать утечки конфиденциальной информации, веб-службы RESTful всегда должны отправлять ее в заголовках HTTP-запроса или в теле запроса (для запросов POST и PUT).
Проверка Content Type
Продолжая тему клиентских ограничений API, службы REST должны точно определять разрешенные типы контента (content type) и отклонять запросы, которые не имеют правильных объявлений в своих заголовках HTTP. Это означает тщательное указание разрешенных типов как в Content-Type, так и в заголовке Accept, а также в charset (где это возможно). Если служба включает JavaScript (или другой код сценария), она должна гарантировать, что тип содержимого в заголовке такой же, как в теле запроса, например application/javascript. Это помогает предотвратить атаки с использованием заголовков (header injection).
Заголовки безопасности в ответах (Response Security Headers)
Дополнительные заголовки безопасности HTTP security headers могут быть установлены для дальнейшего ограничения типа и объема запросов.
К ним относятся X-Content-Type-Options: nosniff для предотвращения атак XSS (XSS attacks) на основе сниффинга MIME и X-Frame-Options: deny для предотвращения попыток clickjacking в старых браузерах.
Если служба не поддерживает междоменные вызовы (cross-domain), она должна отключить CORS (совместное использование ресурсов между источниками) в своих заголовках ответа. Если такие вызовы ожидаются, заголовки CORS должны точно указывать разрешенные источники.
Проверка входных данных
API разработаны для автоматического доступа без взаимодействия с пользователем, поэтому особенно важно убедиться, что все входные данные являются действительными и ожидаемыми. Любые запросы, которые не соответствуют спецификации API, должны быть отклонены. Типичные рекомендации по проверке входных данных:
- Рассматривайте все параметры, объекты и другие входные данные как ненадежные.
- Используйте встроенные функции проверки, где это возможно.
- Проверьте размер запроса, длину и тип контента.
- Используйте строгую типизацию для параметров API (если поддерживается).
- Чтобы предотвратить SQL injection, избегайте создания запросов вручную — используйте вместо этого параметризованные запросы.
- Ведите белые списки разрешений (разрешено только то что указано в списке), везде где это возможно.
- Логгируйте все ошибки проверки ввода данных для обнаружения попыток ввода учетных данных.
Заключение
Веб-API являются основой современной веб-и мобильной разработки. Они позволяют приложениям и службам обмениваться данными и обмениваться данными между аппаратными и программными платформами. В то время как другие форматы API также все еще используются (например, SOAP), API-интерфейсы REST в настоящее время являются доминирующим типом, на которые приходится более 80% всех общедоступных веб-API. Они обеспечивают серверную часть для большинства мобильных приложений и устройств IoT и обеспечивают простую интеграцию между системами и приложениями.
Поскольку REST API используют те же технологии, что и веб-приложения, они могут быть уязвимы к тем же атакам.
В то же время API-интерфейсы не предназначены для ручного доступа, поэтому их может быть сложно протестировать, особенно если некоторые конечные точки и функции недокументированы. Тестирование безопасности API требует точных автоматизированных инструментов для обеспечения полного охвата. Netsparker обеспечивает полную поддержку сканирования уязвимостей REST API с помощью различных методов аутентификации и автоматической перезаписи URL.
Была ли вам полезна эта статья?
[20 / 3]
Spread the love
Сейф в подголовнике | Незаметные автомобильные сейфы
Стильный, безопасный, безопасный
Новейшие технологии безопасности транспортных средств
Держите свои ценности спрятанными на видном месте
Система SILS™: безопасное, невидимое, запираемое автомобильное хранилище
Легкий и удобный доступ к вашим ценностям.
Все на расстоянии вытянутой руки!
Ваши ценности в безопасности в The Headrest Safe™. Вы можете спокойно хранить свои ценности на видном месте.
Наш сейф предназначен для обеспечения максимальной защиты ваших ценностей или огнестрельного оружия. Держите все свои ценности в безопасности, когда вы находитесь в автомобиле или вне его.
489 долларов.00 $629,00
$119.
00
$139.00
Заказать сегодня
Храните свои ценности в целости и сохранности с помощью The Headrest Safe™. Когда вы везете ценные вещи с собой в машине, они не в безопасности. Вы можете нервничать и беспокоиться о том, что ваши ценности могут быть украдены. Но только не с The Headrest Safe™. Мы предоставим вам возможность хранить наличные деньги, ценные вещи, лекарства, огнестрельное оружие или что-то еще, что важно для вас, в вашем автомобиле, не беспокоясь о том, «а что, если».
КУПИТЬ СЕЙЧАС
Когда дело доходит до перевозки ваших ценностей или огнестрельного оружия в автомобиле, большинство людей считают, что им приходится выбирать между безопасностью и удобством. С The Headrest Safe™ вы можете получить лучшее из обоих миров.
Будьте уверены, это безопасный и легкий доступ! Мы серьезно относимся к безопасности. Наша продукция соответствует стандартам для подголовников, предъявляемым к производителям оригинального оборудования.
КТО МЫ ЕСТЬ
В 3 ШАГАХ ОТ БЕЗОПАСНОСТИ И НАДЕЖНОСТИ
Не подвергайте себя вине и сожалениям о том, что у вас нет безопасного места для хранения ваших ценностей или огнестрельного оружия в вашем автомобиле.
Вы на шаг ближе к тому, чтобы получить лучшее из мира безопасности и удобства. Как только вы получите The Headrest Safe™, вы сможете легко установить его самостоятельно.
Вы можете взять свое огнестрельное оружие, деньги, лекарства и многое другое с собой в машину и расслабиться, зная, что они не попадут в руки детей, камердинеров или злоумышленников.
КУПИТЬ СЕЙЧАС
Вам больше никогда не придется брать с собой ценные вещи. Защитите их с помощью The Headrest Safe™. Мы используем материалы самого высокого качества, поэтому вы можете быть уверены, что ваша безопасность будет надежной. С тремя способами открыть сейф (отпечаток пальца, ключ и код) у вас будет легкий доступ к вашим ценностям. Убедитесь, что ваши ценности находятся там, где вы хотите, и когда они вам нужны.
Закажите свое, пока не стало слишком поздно
Перестаньте беспокоиться о сохранности ваших ценностей. Вместо этого будьте спокойны и уверены, что ваши ценности в безопасности.
КУПИ СЕЙЧАС
Если вы заинтересованы в приобретении нескольких сейфов для подголовников для своего бизнеса, узнайте больше о нашей программе корпоративных закупок .
Обзор программы «Улицы к стабильности: деревни безопасного отдыха»
Первоначально эта страница была опубликована в четверг 9.
23.21; последнее обновление было 11.7.22.
Что такое Safe Rest Villages?
Деревни безопасного отдыха — это альтернативные убежища, которые служат улучшенными пунктами въезда для жителей Портленда на континууме от жизни на улице до обретения стабильности в постоянном жилье. Они варьируются от программы безопасного парка для людей, живущих в жилых автофургонах, до альтернативных наружных сооружений. Все Деревни безопасного отдыха включают ведение дел с комплексными услугами по поведенческому и психическому здоровью. Деревни безопасного отдыха – , а не мест или неуправляемых палаток или кемпингов на транспортных средствах — они относятся к неуправляемым кемпингам. Узнайте больше о том, чем являются Деревни безопасного отдыха и чем они не являются.
Зачем нужны Деревни безопасного отдыха?
Деревни безопасного отдыха входят в число услуг и моделей программ, используемых для решения нашего кризиса бездомности. Городские власти и округ Малтнома — через Совместное управление по обслуживанию бездомных — при федеральном финансировании и доходах от Метрополитена по вспомогательным жилищным услугам — расширяют эту систему, чтобы ежегодно обслуживать десятки тысяч человек.
В дополнение к деревням безопасного отдыха город и округ добавляют дополнительные приюты, в том числе приюты деревенского типа и приюты в мотелях, а также больше аутрич-работников, больше ресурсов по охране психического здоровья и больше ресурсов для помощи в аренде жилья для людей. Некоторые из этих новых инвестиций уже сейчас имеют значение, и многие другие появятся в сети в ближайшие месяцы.
» Я хочу вернуться к тому, что сказал комиссар Райан в начале дня о том, как мы должны признать реальный масштаб проблемы. Это многогранно. Это не только жилищный кризис, это не только гуманитарный кризис, это также кризис с наркотиками. Это все эти вещи. ”
~Мэтт Лембо, член правления Beacon Village, ссылается на начало выступления комиссара Райана на «Время слушать, время действовать: разговор о бездомности в Портленде с лидерами округа, города и религиозными лидерами», состоявшийся 2.18. 22.
Как работают деревни безопасного отдыха?
Деревни безопасного отдыха предоставляют:
- Новая модель обслуживания. Модель Safe Rest Villages — приюты на открытом воздухе с обслуживанием пациентов на месте и комплексными службами психического и поведенческого здоровья — является относительно новой для Портленда, и аналогичные модели успешно применяются в других городах.
- Вход по рекомендации. Вход по направлению только для взрослых (18+). Партнеры и домашние животные разрешены во всех деревнях. Направления будут направляться Координационным центром уличных служб, Portland Fire & Rescue и Portland Street Response, а также другими поставщиками социальных услуг, взаимодействующими с теми, кто живет за пределами дома, в рамках программы направлений, управляемой Объединенным управлением помощи бездомным.
- Услуги на месте только для участников. Услуги и программы, предлагаемые на месте, предназначены только для жителей деревни; это не сайты для прогулок, не дневные сайты, и они не будут причиной очередей.
- Минимум один прием пищи в день. Операторы приюта обеспечивают как минимум один прием пищи в день, и в каждой деревне есть общая кухня для всех.
- Услуги и гибкость. Жителям деревни предлагается воспользоваться предлагаемыми программами и услугами, поскольку они испытывают стабильность и безопасность жизни в деревне.
Модель Safe Rest Villages — приюты на открытом воздухе с обслуживанием пациентов на месте и комплексными службами психического и поведенческого здоровья — является относительно новой для Портленда, и аналогичные модели успешно применяются в других городах.
Операторы приюта обеспечивают как минимум один прием пищи в день, и в каждой деревне есть общая кухня для всех.Поскольку у приютов будет множество операторов, мы надеемся, что помимо этих общих черт, каждая деревня приобретет свой собственный характер. Мы ожидаем изменений в зависимости от самих участников, необходимых услуг и общественных пространств, которые они развивают, как в деревне, так и в окружающем сообществе.
В настоящее время мы работаем со следующими операторами приютов:
- All Good Northwest управляет тремя альтернативными приютами, финансируемыми ARPA, включая Multnomah Village SRV, Queer Affinity Village и BIPOC Village.
- Cultivate Initiatives будет управлять деревней Менло-Парк.
Поскольку Объединенный офис округа по обслуживанию бездомных объявляет о дополнительных операторах приютов, эта страница будет обновляться.
Где находятся Деревни безопасного отдыха?
Посетите страницу «Расположение альтернативных приютов, финансируемых ARPA», чтобы получить дополнительную информацию о том, где они находятся. Эти страницы обновляются по мере развития деталей для каждой деревни.
Округ Малтнома также финансирует работу множества альтернативных приютов по всему округу.
Кто за что отвечает?
Чтобы содержать деревню, нужна деревня. Каждый сайт является результатом сотрудничества города Портленда округа Малтнома через Объединенный офис службы помощи бездомным и оператора приюта.
Команда Safe Rest Villages города Портленда отвечает за выбор участков, закупку капсул и материалов для обустройства общих объектов (туалетов, душевых, прачечной, кухни, мест для собраний и т. д.) и аренду земли. Эта команда также наблюдает за взаимодействием с сообществом; представление о программе общественным группам; управляет почтовым ящиком проекта, в который поступают сообщения как проживающих, так и не проживающих соседей; и управляет отношениями для всех сайтов.
Объединенный офис службы помощи бездомным, возглавляемый округом Малтнома, отвечает за набор операторов приюта и надзор за работой приюта в тандеме с операторами, которых они выбирают. Поставщики услуг по охране психического, поведенческого и физического здоровья назначаются округом и операторами приютов.
Операторы приюта занимаются повседневными делами в каждой деревне и предоставляют услуги участникам. Они также посещают встречи соседей, чтобы помочь интегрироваться в сообщество.
Как финансируются Деревни безопасного отдыха?
Федеральный грант от Американского закона о планах спасения (ARPA) поддерживает ряд проектов по всему городу Портленд, включая эти альтернативные убежища. Это не единственный проект в Портленде, финансируемый долларами ARPA, и не единственный, который решает проблемы бездомности. Команда проекта SRV управляет наибольшей частью городских грантовых средств от ARPA, которая включает в себя шесть назначенных поселков безопасного отдыха, а также два других альтернативных приюта.