日韩精品,在线观看,精品国产,日本va在线视频播放,日韩经典三级

Dotpe 為印度各地的餐廳提供廣泛使用的二維碼菜單服務(wù)，通過提供非接觸式訂購(gòu)為客戶提供數(shù)字體驗(yàn)。但是，他們的 API 設(shè)計(jì)和實(shí)現(xiàn)暴露了明顯的安全漏洞。好奇的客戶可以訪問敏感的餐廳數(shù)據(jù)，例如正在進(jìn)行的訂單、購(gòu)買歷史記錄，甚至其他顧客的個(gè)人詳細(xì)信息。他們可以通過調(diào)整基本 API 參數(shù)和下欺詐性訂單來查看餐廳收入數(shù)據(jù)。

雖然這種情況令人震驚，但不幸的是，這種情況很常見。沒有得到充分保護(hù)的 API 會(huì)暴露本應(yīng)保密的數(shù)據(jù)，并產(chǎn)生巨大的濫用可能性。

API 安全中的嚴(yán)重故障

缺乏身份驗(yàn)證：Dotpe 使許多 API 端點(diǎn)未經(jīng)身份驗(yàn)證，允許任何人訪問敏感數(shù)據(jù)。強(qiáng)身份驗(yàn)證對(duì)于每個(gè) API 都是必不可少的。

參數(shù)使用不當(dāng)：對(duì) ID 和電話號(hào)碼的簡(jiǎn)單更改會(huì)讓未經(jīng)授權(quán)的用戶訪問數(shù)據(jù)。API 需要驗(yàn)證和清理所有輸入。

速率限制：Dotpe 的 API 沒有速率限制，允許用戶從數(shù)千家餐廳快速抓取數(shù)據(jù)。速率限制對(duì)于防止濫用至關(guān)重要，尤其是對(duì)于公有 API。

監(jiān)控和警報(bào)：如果 Dotpe 一直在監(jiān)控其 API 流量是否存在異?；顒?dòng)，則它本可以更早地檢測(cè)并解決問題。適當(dāng)?shù)谋O(jiān)控對(duì)于跟蹤異常的使用模式至關(guān)重要。

確保公共 API 安全的戰(zhàn)術(shù)修復(fù)

如果您的 API 已經(jīng)面臨潛在的濫用風(fēng)險(xiǎn)，如何在不對(duì) API 進(jìn)行重大更改的情況下快速增強(qiáng)安全性？有多種方法可以在不改變面向公眾的界面的情況下加強(qiáng) API 的防御。

實(shí)施強(qiáng)身份驗(yàn)證和授權(quán)

確保每個(gè)端點(diǎn)都需要用戶身份驗(yàn)證。這可以包括 API 密鑰、OAuth 令牌或基于會(huì)話的令牌。對(duì)于敏感數(shù)據(jù)應(yīng)考慮多重身份驗(yàn)證（MFA）。

輸入驗(yàn)證和清理

驗(yàn)證所有傳入數(shù)據(jù)以確保其符合預(yù)期參數(shù)。確保只有授權(quán)用戶才能執(zhí)行操作和訪問數(shù)據(jù)。

速率限制和節(jié)流

速率限制可以防止 API 濫用。對(duì)用戶在特定時(shí)間范圍內(nèi)可以請(qǐng)求的數(shù)據(jù)量設(shè)置限制，以避免系統(tǒng)刮擦或過載。

基于地理的白名單

如果您的 API 主要為特定位置的用戶提供服務(wù)，則地理圍欄可以減少暴露。限制對(duì)特定城市或國(guó)家的 API 訪問可以幫助阻止外國(guó)攻擊。但是，請(qǐng)確保這不會(huì)阻止合法用戶在不同位置使用 VPN 或移動(dòng)網(wǎng)絡(luò)?？紤]后備機(jī)制，例如針對(duì)區(qū)域外訪問的附加身份驗(yàn)證。

全面的日志記錄和監(jiān)控

為所有 API 交互實(shí)現(xiàn)日志記錄。實(shí)時(shí)監(jiān)控以檢測(cè)可疑行為，例如大量數(shù)據(jù)提取或失敗的登錄嘗試。

安全設(shè)計(jì)

安全不應(yīng)該是事后才想到的。確保安全性是開發(fā)過程的一部分，即使您需要在啟動(dòng)后更新 API。將安全性構(gòu)建到 API 核心比稍后修補(bǔ)更便宜、更有效。

Dotpe 案例強(qiáng)調(diào)了從第一天起就保護(hù) API 安全的必要性。沒有一個(gè)擁有公共 API 的企業(yè)希望在 Hacker News 上看到它的缺陷。雖然公共 API 對(duì)于擴(kuò)展業(yè)務(wù)至關(guān)重要，但必須保護(hù)它們免遭潛在的濫用。

原文鏈接:Securing Public APIs Without Breaking Them: Lessons from the Dotpe Case