سیستم امنیتی API؛ برگ بازنده ای برای برنامه های آسیب پذیر
5 راه برای جلو گیری از نشت اتصالات API
حساب بانکی بسیاری از مشتریان StarBocks توسط سارقان سایبری دزدیده شد که باعث شک بزرگی برای مدیران IT این کمپانی بود. طی پرداخت هایی که از طریق اینترنت توسط کامپوتر و یا موبایل انجام می شد و تکرار رمز های عبور و دیگر اطلاعات محرمانه، این سرقت انجام پذیرفت که کارشناسان امنیتی، مقصر را یک حفره در یک رابط کاربری نرم افزار-برنامه نویسی (API)، میدانند.
حال چرا API؟
به گفته محققان، این روش فقط در خصوص شرکتهایی در دستور اجرایی هکر ها و سارقان قرار گرفته که در حال ساخت رابط های برنامه های کاربردی(API)، برای پشتیبانی از وب سایت و نرم افزار های واسط خود با مشتریانشان هستند.
حال 5 روش برای پیشگیری از این بیماری
1) Authorize The User And Authenticate The Apps
برای تامین امنیت برنامه های کاربردی در مقابل واسط های کاربری، شما علاوه بر تعیین هویت کاربر به تایید هویت خود برنامه هم توجه داشته باشید که این امر باید توسط برنامه نویس با اجرای یک پروتکل شناسایی بر روی خود برنامه انجام پذیرد.
2) Encrypt transports
همیشه داده های حساس را رمز نگاری کنید.هرگز با انتقال متن، حفره ی امنیتی به وجود نیاورید.توسعه دهندگان باید از گواهینامه SSL در رابط های برنامه های کاربردی یا API، برای انتقال اطلاعات حساس بین برنامه و رابط Web Servie ارائه کنند.
3) Protect credentials
از امضاهای دیجیتال یا SAML استفاده کنید البته بهتر است نوع ارتباط از طریق VPN و با پروتکل SSL هم برقرار باشد.
4) Avoid static or embedded passwords
از نوعی Password بسیار پیچیده و هوشمند استفاده کنید و این پسوورد را همیشه به صورت Static وارد کنید.
5) Expose only required information to your API
توسعه دهندگان و برنامه نویسان همیشه تمام اطلاعات از یک کاربر را به API انتقال میدهند بدون در نظر گرفتن این موضوع که واقعا کدام یک از این اطلاعات مورد نیاز میباشد..پس اطمینان حاصل کنید که کدام اطلاعات در بستر نرم افزار در حال حرکت میباشد