API – برگه 3 – کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن

آگوست 24, 2018

چطوری لیست سفارشی IP کمک می کند یک API را امن کند؟

من سعی می کنم درک درستی از میزان که فهرست سفیدپوستان IP برای جلوگیری از حملات علیه یک API انجام شود.

در حال حاضر من به یک سناریوی B2B فکر می کنم که سازمان A یک API را فراهم می کند و سازمان B API را مصرف می کند.

اگر سازمان A که API را تولید می کند، API آن را تنظیم می کند تا فقط نشانی های آی پی را از سازمان B پذیرفته باشد، چه امنیت اضافی آن را ارائه می دهد؟

توجه داشته باشید، این غیر فعال است (OP: "علاوه بر این"؟ ) به سایر اقدامات امنیتی مانند مخفی توزیع شده + TLS یا TLS متقابل.

من می فهمم که این امر بر حمله انکار سرویس تأثیر می گذارد و می تواند (OP: این جمله را پایان دهد؟)

آگوست 14, 2018

چگونه API دروازه برای microservices ساده CORS؟

شاید دروازه هایی وجود داشته باشد که از قبل پشتیبانی CORS انجام داده است؟

آگوست 9, 2018

تأیید هویت – نحوه انتقال کاربر / گذر از کاربر به API به صورت خودکار

من مطمئن نبودم که آیا این را در StackOverflow یا اینجا بپرسم، اما تصمیمی گرفتم که در اینجا مناسب تر است.

من یک اسکریپت محلی کاملا اتوماتیک ایجاد میکنم که در یک برنامه اجرا می شود. پس از راه اندازی، اسکریپت هرگز نباید هر گونه تعامل با کاربر را مورد نیاز باشد.

این اسکریپت نیاز به دسترسی به یک API وب دارد که تنها از احراز هویت کاربر / پاس استفاده می کند. من نیاز به پیدا کردن راه برای یک کاربر اجرای این اسکریپت و آن را به API از طرف آنها دسترسی داشته باشید.

من به عنوان خوانده شده https://stackoverflow.com/questions/2283937/how-shouldi-i-ethically-approach -user-password-storage-for-later-plaintext-retrie، و من متقاعد شده ام که ذخیره یک رمز عبور یک ایده بد است (حتی اگر همه مرورگرهای وب آن را انجام دهند). با این حال، API بعید است که هرگز ابزار جدید احراز هویت ایجاد کند، بنابراین من گیر هستم.

چه باید بکنم؟ صبر کنید تا API که ممکن است هرگز تغییر نکند؟ تظاهرات را انجام دهید و رمز عبور را ذخیره کنید؟ چیز دیگری؟

آگوست 7, 2018

مرد در وسط – امنیت AWS Lambda ارتباط با غیر HTTPS API

تعجب بر این است که چه حملاتی ممکن است در سناریوی زیر ظاهر شوند.

من یک سرویس وب دارم که یک لامبدا AWS (پشت دروازه API) ایجاد می کند که باعث می شود چندین تراکنش (ارسال ایمیل، اضافه کردن به لیست پستی) و سپس یک درخواست برای یک API ارسال می کند. با این حال این API با https تضمین نشده است. API با لیست سفارشی IP تأمین می شود. API همچنین انتظار می رود یک نشانه مجوز در درخواست، که از طریق HTTP تایید مجوز منتقل می شود.

بنابراین سوال من این است، از آنجا که سرویس وب تنها POST درخواست به سرویس لامبدا، سپس سرور لامبدا POST API، یک کاربر میتواند آن ترافیک را دنبال کند و نقطه پایانی API را پیدا کند؟ به هر حال یک کاربر مخرب می تواند ترافیک خروجی را از نقطه پایانی لامبدا خراب کند؟

FWIW – هیچ اطلاعات بسیار حساس در API وجود ندارد، اما برخی از داده های کاربر وجود دارد. این کار قبل از ورود به سیستم با استفاده از HTTPS قفل می شود، من فقط کنجکاو هستم که بدانم که بردارهای بالقوه حمله وجود دارد.

آگوست 6, 2018

اسکنرهای آسیب پذیر برای API های وب

من چندین محصول را برای شرکت خود در intellectstorm.com ساختم و من وظیفه دارم این محصولات را با اسکن کردن برای آسیب پذیری ها آزمایش کنم. من نمی توانم در مورد یک ابزار خوب تصمیم بگیرم، تا کنون از موارد زیر استفاده کرده ام: –
1. اسکنر آسیب پذیری Barracuda
2. ناسوس
3. Openvas
4. نیکو

من نمی توانم از Nessus یا Barracuda استفاده کنم زیرا آنها منبع باز نیستند.
این ابزارها قدرتمند هستند، اما من فکر می کنم آنها برای تست برنامه های ورودی استفاده می کنند. من هیچ اسنادی برای پیدا کردن API های وب و اسکن برای آسیب پذیری ها برای API های وب ندیدم.