API โอเพ่นซอร์ส ความปลอดภัยเป็นปัญหาหลักสำหรับ API ต่อไปนี้คือเครื่องมือโอเพนซอร์ซเจ็ดตัวที่ช่วยปกป้องพวกเขา
- ได้กลายเป็นวิธีทั่วไปในการเปิดใช้งานการสื่อสารระหว่างแอปพลิเคชันและผู้ใช้ ตั้งแต่รถของคุณบอกคุณว่าปั๊มน้ำมันที่ใกล้ที่สุดอยู่ที่ใด สมาร์ทโฟนของคุณดึงข้อมูลสภาพอากาศ แต่เมื่อองค์กรต่างๆ แชร์ API มากขึ้นเรื่อยๆ โอกาสสำหรับผู้ไม่หวังดีที่จะใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยก็เพิ่มขึ้น
- กำลังกลายเป็นเป้าหมายที่ง่ายต่อการใช้ประโยชน์ ทำให้มีช่องโหว่มากมายให้เสียบและการโจมตีที่ทวีความรุนแรงขึ้นอาจส่งผลให้เกิดการละเมิดข้อมูลที่รุนแรงสำหรับแอปพลิเคชันระดับองค์กร ความท้าทายเหล่านี้เพิ่มขึ้นทุกวันเนื่องจาก API มีบทบาทสำคัญในการเร่งสร้างนวัตกรรม
โชคดีที่เพื่อปกป้องนวัตกรรมนี้ ผู้ให้บริการ API มีชุดเครื่องมือมาตรฐานไม่กี่ชุดให้เลือก ด้านล่างนี้ เราจะตรวจสอบเครื่องมือโอเพนซอร์สที่ช่วยเปิดใช้งานการรักษาความปลอดภัย API เราได้สรุปยูทิลิตี้การทดสอบความปลอดภัยโอเพนซอร์สที่เป็นประโยชน์ มาตรฐานแบบเปิด และโซลูชันการจัดการข้อมูลประจำตัวฟรีที่สามารถใช้ช่วยสร้างและทดสอบสถาปัตยกรรม API ที่ไม่น่าเชื่อถือ
Astra
เป็นเครื่องมือทดสอบการเจาะระบบ REST API แบบอัตโนมัติที่ใช้โดยวิศวกรความปลอดภัยและนักพัฒนาซึ่งเป็นส่วนหนึ่งของการพัฒนา API การทดสอบการเจาะระบบค่อนข้างซับซ้อนเนื่องจากมีการเปลี่ยนแปลงอย่างต่อเนื่องในโมเดล API และการเพิ่มจุดปลายใหม่
สามารถทดสอบ API การเข้าสู่ระบบและออกจากระบบโดยอัตโนมัติ (Auth API) นอกจากนี้ยังสามารถใช้คอลเลกชัน API เป็นอินพุตและทดสอบแต่ละจุดสิ้นสุด API แยกกันในโหมดสแตนด์อโลน คุณลักษณะเหล่านี้ทำให้เครื่องมือทดสอบการเจาะระบบนี้ค่อนข้างง่ายในการรวมเข้ากับไปป์ไลน์ CI/ CD
คุณสมบัติ:
- การฉีด SQL
- การเขียนสคริปต์ข้ามไซต์
- ข้อมูลรั่วไหล
- การตรวจสอบและการจัดการเซสชันที่ใช้งานไม่ได้
- CSRF (รวมถึง Blind CSRF)
- ขีด จำกัด อัตรา
- การกำหนดค่า CORS ผิดพลาด (รวมถึงเทคนิคบายพาส CORS)
- JWT โจมตี
- การตรวจจับ CRLF
- การฉีด XXE คนตาบอด
crAPI
Completely Ridiculous API (crAPI) สามารถช่วยให้ทีมของคุณเข้าใจความปลอดภัยที่สำคัญที่สุด 10 ประการของ API ภายในสภาพแวดล้อมจำลอง คุณสามารถพูดได้ว่า crAPI ได้ใช้ช่องโหว่ด้านความปลอดภัยทุกประการที่ API ไม่ควรมี สิ่งนี้ทำให้เป็นแบบอย่างที่ดีในการแสดงวิธี ที่ ไม่พัฒนาความปลอดภัยของ API
crAPI ใช้สถาปัตยกรรมไมโครเซอร์วิสและประกอบด้วยหลายบริการที่พัฒนาขึ้นโดยใช้:
- เว็บ: บริการทางเข้าหลัก
- ข้อมูลประจำตัว: ปลายทางผู้ใช้และการตรวจสอบสิทธิ์
- ชุมชน: บล็อกชุมชนและจุดสิ้นสุดความคิดเห็น
- เวิร์กชอป: จุดสิ้นสุดการประชุมเชิงปฏิบัติการเกี่ยวกับยานพาหนะ
- Mailhog: บริการไปรษณีย์
- Mongo: ฐานข้อมูล NoSQL
- Postgres: ฐานข้อมูล SQL
Curity Identity Server (รุ่นชุมชน)
Curity Identity Server Community Edition เป็น เวอร์ชันฟรีของ Curity Identity Server เพื่อช่วยรักษาความปลอดภัยในการเข้าถึง API ของคุณ เซิร์ฟเวอร์ข้อมูลประจำตัวคือเซิร์ฟเวอร์การตรวจสอบสิทธิ์ที่ใช้มาตรฐาน OpenID Connect และ OAuth 2.0 สำหรับ API ของคุณ เป็นวิธีการทั่วไปในการตรวจสอบเว็บแอปพลิเคชัน แอปพลิเคชันมือถือ จุดปลาย API
ฉบับชุมชนมาพร้อมกับ:
- ผู้ใช้ไม่ จำกัด
- ชื่อผู้ใช้/รหัสผ่านและผู้ให้บริการข้อมูลประจำตัวทางสังคม
- เซิร์ฟเวอร์ OAuth สมบูรณ์
- API ที่ปลอดภัยด้วยโทเค็น
- การรับรองความถูกต้องที่กำหนดเอง
อ่านบทวิจารณ์ Curity Identity Server Community Editionของเรา
JWT
JWT หรือ JSON Web Tokens เป็นหนึ่งในวิธีที่ได้รับความนิยมมากที่สุดในการสร้างโทเค็นการเข้าถึงสำหรับแอปพลิเคชัน เป็นมาตรฐานเปิดที่เป็นไปตาม RFC–7519 และกำหนดวิธีที่ปลอดภัยในการถ่ายโอนข้อมูลระหว่างไคลเอนต์และเซิร์ฟเวอร์
เพื่อสรุปวิธีการทำงานของ JWT เซิร์ฟเวอร์จะสร้างใบรับรองที่อนุมัติข้อมูลประจำตัวของผู้ใช้และส่งไปยังไคลเอนต์ จากนั้น ต่อจากนี้ไป ลูกค้าจะต้องส่งใบรับรอง (โทเค็น) นั้นพร้อมกับทุกคำขอไปยังเซิร์ฟเวอร์เพื่อระบุและรับรองความถูกต้องของผู้ใช้
โทเค็นมีการเซ็นชื่อเข้ารหัสแต่ไม่ได้เข้ารหัส ซึ่งหมายความว่าจำเป็นต้องส่งผ่าน HTTPS เพื่อให้สามารถเชื่อถือได้ การใช้ HTTPS ยังช่วยให้มั่นใจได้ว่าไม่มีพ่อค้าคนกลางเข้ามาเกี่ยวข้องซึ่งสามารถแก้ไขหรือตีความโทเค็นได้
การรับรองความถูกต้องของ HAWK
HAWK เป็นเทคโนโลยีการตรวจสอบสิทธิ์ที่ค่อนข้างใหม่ซึ่งสร้างขึ้นโดยนักพัฒนาดั้งเดิมของ OAuth HAWK มีเป้าหมายที่จะแทนที่การพิสูจน์ตัวตนแบบ 2 ทาง และใช้รูปแบบการพิสูจน์ตัวตนที่ง่ายกว่ามาก ส่วนใหญ่จะใช้สำหรับการตรวจสอบสิทธิ์ HTTP และใช้ไดเจสต์ HMAC
เช่นเดียวกับ การพิสูจน์ตัวตน HTTP Basic HAWK ยังใช้ข้อมูลรับรองของไคลเอ็นต์ ซึ่งรวมถึงตัวตรวจสอบการเข้ารหัสและคีย์ อย่างไรก็ตาม คีย์จะไม่ถูกใช้สำหรับการรับรองความถูกต้อง แต่สำหรับการคำนวณค่า MAC ของคำขอ
ในการส่งคำขอ HTTP ไคลเอ็นต์ต้องส่งรหัสโทเค็นและรหัสโทเค็นจากเซิร์ฟเวอร์ เมื่อเซิร์ฟเวอร์ต้องการส่งโทเค็น จะใช้ Hawk-Session-Token เป็นส่วนหัว ลูกค้าสามารถแบ่งค่าของส่วนหัวออกเป็นสองส่วน กล่าวคือ HAWK ID และโทเค็น HAWK ซึ่งจะใช้ในคำขอที่ตามมา
OAuth
OAuth ย่อมาจาก Open Authorization ซึ่งอนุญาตให้เว็บไซต์หรือแอปพลิเคชันเข้าถึงทรัพยากรที่โฮสต์บนแอปพลิเคชันบุคคลที่สามในนามของผู้ใช้ OAuth เป็นมาตรฐานอุตสาหกรรมสำหรับการอนุญาตและใช้งานโดยบริษัทต่างๆ เช่น Google, Twitterเป็นต้น
ประเด็นหนึ่งที่ต้องจำไว้คือ OAuth เป็นเครื่องมือการให้สิทธิ์ ไม่ใช่เครื่องมือตรวจสอบสิทธิ์ ซึ่งหมายความว่าส่วนใหญ่จะใช้เป็นเครื่องมือในการให้สิทธิ์ข้อมูลการเข้าถึงในนามของผู้ใช้ที่สามารถเข้าถึงข้อมูลได้
OAuth ใช้โทเค็นการเข้าถึงเพื่อเข้าถึงทรัพยากร โทเค็นการเข้าถึงเป็นสตริงที่แสดงถึงการอนุญาตของผู้ใช้ในการเข้าถึงทรัพยากร ในกรณีส่วนใหญ่ มันมาพร้อมกับวันหมดอายุ และเพื่อสร้างโทเค็นการเข้าถึงใหม่ เราใช้โทเค็นการรีเฟรช
เครื่องมือ OAuth
เป็นสนามเด็กเล่นที่ให้คุณทดลองและทดสอบการทำงานภายใน เมื่อใช้ OAuth Tools คุณสามารถถอดรหัสโทเค็น เช่น JWT, Access Token, Refresh Token เป็นต้น โดยมี UI ที่ตรงไปตรงมาและให้คุณทดสอบได้ในหลายสภาพแวดล้อม ในสภาพแวดล้อมที่กำหนดเอง จะช่วยให้คุณสามารถใช้ URL ที่กำหนดเอง ขอบเขต คีย์ ข้อมูลเมตา ฯลฯ
เครื่องมือ OAuth ยังช่วยให้คุณส่งออกการตั้งค่าในรูปแบบ JSON และนำเข้าได้เช่นกัน ดังนั้นคุณจึงไม่ต้องกรอกแบบฟอร์มอีกครั้งเพื่อทดสอบโทเค็น เมื่อใช้เครื่องมือ OAuth คุณสามารถทดสอบ โฟล ว์และพาวเวอร์ OAuth ต่างๆ ได้ เช่น โฟลว์ที่ชัดเจน โฟลว์ไฮบริด เพิกถอนโทเค็น โฟลว์การออกจากระบบ และอื่นๆ
อ่านรีวิว OAuth.tools ของเราที่นี่
แนวทางปฏิบัติที่ดีที่สุดสำหรับการรักษาความปลอดภัย API
- ตรวจสอบด้วยบันทึก : เป็นสตอล์กเกอร์ ตรวจสอบทุกรายละเอียดเล็กๆ น้อยๆ เกี่ยวกับ API ของคุณ เตรียมพร้อมสำหรับข้อผิดพลาด การละเมิด หรือการหยุดให้บริการ การเก็บบันทึกสามารถช่วยคุณได้ในระยะยาว เนื่องจากจะเก็บบันทึกทุกอย่าง โดยเฉพาะข้อผิดพลาด บันทึกสามารถช่วยคุณดีบักปัญหา API และใช้เพื่อสร้างแดชบอร์ดเพื่อช่วยเหลือผู้บริโภคเมื่อมีการหยุดทำงาน
- ทดสอบ API เป็นประจำเพื่อหาช่องโหว่ : API ไม่ควรทดสอบเฉพาะในขั้นตอนการพัฒนาเท่านั้น แต่ยังควรทดสอบเป็นระยะๆ ด้วย ควรใช้วิธีการต่างๆ ในการทดสอบ API เช่น การทดสอบการโจมตี JWT
- รักษาสแต็กเทคโนโลยีโดยรอบ : คุณอาจใช้ Python, PHP, NodeJS และเทคโนโลยีอื่นๆ เพื่อสร้าง API ของคุณ แพ็กเกจที่ใช้ ไลบรารี และเทคโนโลยีอื่นๆ ทั้งหมดต้องได้รับการอัปเดตเป็นเวอร์ชันเสถียรล่าสุด ซึ่งจะช่วยให้ codebase สามารถลบช่องโหว่ที่มีอยู่ในการพึ่งพาได้
- อย่าปล่อยให้จุดปลายเปิด : จุดสำคัญที่สุดจุดหนึ่งที่ควรจำไว้เมื่อคุณกำลังพัฒนา API คือคุณไม่ควรสร้างปลายทาง API แบบเปิด แม้ว่าจะไม่มีเอกสารก็ตาม หมายความว่าปลายทาง API ทุกจุดต้องได้รับการรักษาความปลอดภัยโดยส่วนหัวการอนุญาตหรือเครื่องมือใดก็ตามที่คุณใช้เพื่อรักษาความปลอดภัย API ของคุณ
- คีย์ API ไม่เพียงพอ : ดังที่เราได้อธิบายไว้ก่อนหน้านี้ว่า Basic Authentication และAPI keysนั้นไม่เพียงพอสำหรับการรักษาความปลอดภัย API สมัยใหม่
คำพูดสุดท้าย
แอปพลิเคชันจำนวนมากถูกเลิกใช้เร็วกว่าที่ทีมรักษาความปลอดภัยจะจัดการได้ ซึ่งหมายความว่าโซลูชันการรักษาความปลอดภัยมักจะช้าเกินกว่าจะทันกับความต้องการที่คล่องตัวขององค์กร ซึ่งนำไปสู่ความคับข้องใจในหมู่ผู้มีส่วนได้ส่วนเสียต่างๆ เกี่ยวกับการไม่ประนีประนอมการรักษาความปลอดภัย การมองเห็นทั่วทั้งกระดานมีบทบาทสำคัญ และการขาดการไตร่ตรองด้านความปลอดภัยล่วงหน้าอาจนำไปสู่ปัญหาคอขวดในกระบวนการปรับใช้
เนื่องจากความปลอดภัยเป็นส่วนสำคัญของการพัฒนาสมัยใหม่ จึงเป็นพื้นที่ที่ต้องเติบโตอย่างรวดเร็ว ทุกวันเราพบการละเมิดข้อมูลและการโจมตีทางไซเบอร์ ซึ่งทำให้บริษัทขาดทุนได้ ด้านบน เราได้ระบุวิธีการที่ดีที่สุดบางส่วนในการรักษาความปลอดภัย API ของคุณ ซึ่งหลายวิธีได้รับการยอมรับจากผู้เล่นรายใหญ่ที่สุดในระบบเศรษฐกิจ การทดสอบ API ยังมีบทบาทสำคัญในความปลอดภัย เนื่องจากช่วยให้คุณระบุช่องโหว่และนำออกได้
ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้
สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ เพราะเป็นราคาที่สุด คุ้มที่สุด
เรามีแอดมินคอยคอบคำถาม 24 ชั้วโมงที่ Line OA ให้คำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์ EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O
ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9 หรือ E m a i l : c s @ k o . i n . t h
หากท่านมีความสนใจ บทความ หรือ Technology สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699
