API Security — OWASP2:2023

OWASP Top10 listesindeki ikinci madde ”Broken Authentication” bozuk/zayıf kimlik doğrulama diyebileceğimiz zaafiyet türüdür.

Bozuk kimlik doğrulama ve oturum yönetimi, bir web uygulamasının kullanıcı oturumlarını doğru şekilde doğrulayamaması ve yönetememesi durumunda ortaya çıkan güvenlik açığını ifade eder. Bu, çeşitli şekillerde gerçekleşebilir ancak sonuçta, bir saldırgan kullanıcı hesaplarına erişebilir, kullanıcı adına eylemler gerçekleştirebilir veya hassas verilere yetkisiz erişim sağlayabilir.

Düz metin olarak saklanan , default olarak bırakılan ve değiştirilmeyen , karmaşıklık düzeyi düşük , tahmin edilmesi kolay şifre kullanımı , zayıf şifreleme anahtarları kullanımı , access token kullanılmaması ve benzeri zayıflıklar apileri korumasız bırakacaktır.

Nasıl Önleriz?

Tüm Apilere kimlik doğrulaması yapmayı kural edinin. Api lokalde çalışıyor diyerek korumasız bırakmayın.

Yeni keşifler yapmak için uğraşmayın , sektörün en iyi uygulamalarını takip edin.

Token ömürlerini mümkün oldukça kısa tutun.

Kimlik doğrulama için daha sıkı hız sınırlamaları kullanın , şifre denemeleri yapan saldırıları hız düşürerek zorlaştırabilirsiniz.

Hatalı cevap döndüğünüz kimlik doğrulama apilerinizde erişimi makul bir sayıda kilitleyin.

Hassas işlemler için mutlaka yeniden kimlik doğrulama yapın ve mümkün ise çok faktörlü doğrulama kullanın.

Kullanıcının belirlediği şifrelerde zayıf şifre kontrolünü mutlaka ekleyin. Güçlü şifre politikaları uygulayın.

Her deployment öncesinde mutlaka kimlik doğrulama testlerinizi tekrarlayın , development aşamasındaki testler için silahsızlandırılan kodların run-time’a taşınmasına izin vermeyin.

Davranış analizi yapan bir “Api Security” ürünü edinin ve aldığınız her önleme rağmen vereceğiniz muhtemel açıkları tespit edin.

Güvenli kodlar…

#apisecurity #owasp #natica #securecoding