Πως ένας προγραμματιστής μπορεί να προστατεύσει το API λογισμικό του;

[Δορυφορικα]

25 Ιανουαρίου, 2020, 1:30 μμ by Nat BotPak Leave a Comment

Πως ένας προγραμματιστής μπορεί να προστατεύσει το API λογισμικό του; H ολοένα αυξανόμενη εξέλιξη της τεχνολογίας εντείνει την τάση παραβίασης συστημάτων ασφαλείας σε ανησυχητικό βαθμό. Με άλλα λόγια, τα λογισμικά συστήματα καλούνται να αντιμετωπίσουν υψηλότερα επίπεδα και μεγαλύτερη συχνότητα παράνομων δραστηριοτήτων και παραβιάσεων. Επομένως είναι απαραίτητη η ενημέρωση του κοινού σχετικά με τις τάσεις στις παραβιάσεις της ασφάλειας, τον εντοπισμό τους και την εξουδετέρωσή τους.

Οι κίνδυνοι ασφάλειας των API (Application programming interface) που πρέπει να αποφεύγονται από τους προγραμματιστές λογισμικών συστημάτων είναι οι ακόλουθοι:

1. Object Level Authorization: σε μία τέτοια περίπτωση αυξάνονται οι πιθανότητες οι χάκερς να εισβάλλουν στα συστήματα ελέγχου και να αποκτήσουν πρόσβαση στη βάση δεδομένων.
2. User Authentication: όταν η διαδικασία της ταυτοποίησης δε γίνεται σωστά, δίνεται η δυνατότητα στους χάκερς να εισβάλλουν στα προσωπικά στοιχεία του χρήστη και να τα κλέψουν.
3. Υπερβολική έκθεση δεδομένων: αυτό συμβαίνει, όταν οι προγραμματιστές τείνουν να εκθέτουν όλες τις ιδιότητες των αντικειμένων, χωρίς να δίνουν ιδιαίτερη προσοχή στην ατομική ευαισθησία, ενώ δεν φιλτράρουν τα δεδομένα, προτού τα εμφανίσουν στον χρήστη.
4. Έλλειψη πόρων και περιορισμός κόστους: συνήθως, τα λογισμικά API  δεν θέτουν τους απαραίτητους περιορισμούς στην ποσότητα των πόρων που μπορούν να ζητηθούν από τον χρήστη. Αυτό όχι μόνο μπορεί να επηρεάσει την απόδοση του διακομιστή API, οδηγώντας σε απόρριψη της υπηρεσίας (DoS), αλλά επίσης, αφήνει ανοιχτό το ενδεχόμενο παραβίασης του ελέγχου ταυτότητας.
5. Λανθασμένες λειτουργίες: όπου δεν υπάρχει σαφής διαχωρισμός μεταξύ διοικητικών και τακτικών λειτουργιών καθώς και πολιτικών ελέγχου πρόσβασης, με διαφορετικές ιεραρχίες, ομάδες και ρόλους, αυξάνονται οι πιθανότητες παραβίασης των λογισμικών.
6. Μαζική εκχώρηση: προκύπτει όταν δεν ελέγχονται σωστά οι ιδιότητες των δεδομένων.
7. Security Misconfiguration: αυτό το ελάττωμα εμφανίζεται όταν υπάρχουν, ατελείς ή ad-hoc ρυθμίσεις, ανοιχτή αποθήκευση cloud, εσφαλμένες επικεφαλίδες HTTP, περιττές μέθοδοι HTTP, επιτρεπτή κοινή χρήση πόρων (CORS) που περιέχουν ευαίσθητες πληροφορίες.
8. Injection: εμφανίζονται συχνά σφάλματα που σχετίζονται με την Έγχυση, όπως SQL, NoSQL, και Εντολή Έγχυσης, όταν αναξιόπιστα δεδομένα, αποστέλλονται σε έναν διερμηνέα ως μέρος εντολής ή ερωτήματος.
9. Ακατάλληλο Assets Management: τα API εκθέτουν περισσότερα τελικά σημεία, με κατάλληλη και ενημερωμένη τεκμηρίωση, χαρακτηριστικό πολύ σημαντικό.
10. Ανεπαρκές Logging & Monitoring: όταν υπάρχει, ανεπάρκεια στην καταγραφή και στην παρακολούθηση, η συνέπεια είναι η αναποτελεσματική και μη αποδοτική ολοκλήρωση και αναφορά περιστατικών.

Υπάρχουν ωστόσο ορισμένα βασικά πράγματα που πρέπει να διαθέτει η ασφάλεια του λογισμικού για να αποφευχθούν οι παραβιάσεις της.  Αναμφισβήτητα, οι χάκερς αναζητούν πάντα αφορμές και “τρύπες” για να παραβιάσουν διάφορα συστήματα ασφαλείας και λογισμικά. Αυτό το πετυχαίνουν σε αρκετά μεγάλο βαθμό καθώς πάντοτε υπάρχουν κενά και σφάλματα στα συστήματα ασφαλείας. Επομένως οι εταιρίες ασφάλειας λογισμικού πρέπει να ενημερώνονται καταλλήλως για τις τάσεις που κυριαρχούν στις παραβιάσεις της ασφάλειας του λογισμικού και να διασφαλίζουν ότι ενημερώνεται το προσωπικό τους. Μόλις προκύψει ένα πρόβλημα, το λογισμικό πρέπει να αναλυθεί και να αποκατασταθεί.Τέλος είναι σημαντικό να γίνονται πολλές δοκιμές και να υπάρχουν ισχυρά εργαλεία και που θα μπορούν να βρουν το σφάλμα και να το διορθώσουν.

How useful was this post?

Submit Rating

Average rating / 5. Vote count:

No votes so far! Be the first to rate this post.

Κατηγορία: securityΕτικέτα: ασφάλεια', κίνδυνοι, παραβιάσεις, προγραμματιστές, Προγραμματιστής, συστήματα, σφάλμα

About Nat BotPak

LIFE IS TOO SHORT to remove usb safely

Previous Post: « Τεχνολογία στο σχολείο: Το μέλλον είναι η υβριδική νοημοσύνη

Reader Interactions

Let's block ads! (Why?)

Πηγή Είδησης