Api Security OWASP3:2023

Nesne özelliği düzeyinde hatalı yetkilendirme diye adlandırılan OWASP-3'ün 2019 yılındaki eski isimlendirmesi “Aşırı veri maruziyeti” idi. Kısaca Api’nin cevabında yeterli olandan daha fazla veri(nesne) geri döndürdüğü anlaşılmalıdır.

API isteği yaptığınızda dönen cevabın frontend’de filtrelendiği varsayımı ile kod yazıldığında gerekenden fazla veri cevaba eklenebilir. Bu durum trafiği izleyerek kolaylıkla tespit edilebilir ve hassas verilere erişim mümkün olur.

Nasıl Önlenir?

API cevaplarını hazırlarken mutlaka “bu verinin tüketicisi kim?” sorunusu sorun.

Hassas verileri filtrelemek için asla front end’e güvenmeyin. API cevabında gereksiz ya da fazla veri döndürmeyin.

to_json() gibi genel yöntemleri kullanarak tüm obje elemanlarını cevaba yüklemeyin. Gerçekten cevapta bulundurmak istediğiniz verileri tek tek seçin.

Schema tabanlı bir yanıt doğrulama mekanizması kullanın.

Hata mesajları ile oldukça fazla veri açığa çıkarılması ihtimaline karşı , hata mesajlarındaki verileri özenle sınırlayın.

Yalnızca istemci tarafından güncelleştirilmesi gereken nesne özelliklerinde değişiklik yapılmasına izin verin.

Güvenli kodlar.

#apisecurity #natica #cybersecurity #owasp10