Журнал "Information Security/ Информационная безопасность" #4, 2024

1. Shadow API – это недоку- ментированный API, который существует в инфраструктуре организации. Это значит трафик на эндпоинт проходит, но в спе- цификации он не указан. Нали- чие таких эндпоинтов говорит, о том что опубликована API не соответствующая специфика- ции, а значит процесс не рабо- тает. 2. Orphan API – это докумен- тированный API, который не получает трафик. Здесь обрат- ная ситуация – в спецификации эндпоинт есть, но не использу- ется продолжительное время. Тут возникает вопрос избыточ- ности – зачем нам возможность вызова, которая не востребо- вана? 3. Zombie API относится к устаревшим API, которые, как все предполагают, были отключены, но на самом деле все еще используются. Этот тип недостатка можно увидеть при сравнении подготовленной спе- цификации (на этапе проекти- рования) и спецификации полу- ченной после публикации API из трафика (см. рис. 3). Следующую категорию недо- статков нельзя описать одно- значно в бинарной логике (плохо или хорошо) – каждый из них зависит от того, насколь- ко параметры API критичны для процессов конкретного прило- жения и компании. Эти факторы повышают веро- ятность атаки на тот или иной эндпоинт в API. Такая оценка может производиться на этапе дизайна и проектирования API, а также может служить Security Gate, то есть представляет собой фильтр (реализованный техническими или администра- тивными средствами), который пропускает или не пропускает API в производственную среду на основании уровня риска, рас- считанного исходя из критери- ев, указанных ниже. 1. Количество параметров запроса и тела. Чем большее количество параметров исполь- зуется в эндпоинте, тем больше количество точек, которые может использовать злоумыш- ленник для применения атаки, и тем больше точек необходимо контролировать при разработке. То есть мы говорим об уве- личении поверхности атаки и вероятности, что среди всех передаваемых параметров ока- жется тот, контроль и санити- зация которого окажутся недо- статочными. В том числе это же говорит и о недостатках раз- работки – хорошая практика использовать достаточное коли- чество параметров в одном энд- поинте. 2. Параметры с конфиденци- альными данными. Этот конт- роль важен для отслеживания количества параметров с кон- фиденциальными данными и методов защиты, которые к ним применяются. Согласитесь, будет странно, если персональ- ные данные будут доступны без авторизации, или можно будет получить из разных полей пол- ные данные о человеке. 3. Работа с объектами XML/JSON. Пусть эти форматы и работы с ними известна уже достаточно давно и плотно вошла в обиход разработки веб приложений и API – они все же являются элементом усложне- ния конечной системы. Работа с XML и JSON определенно • 45 WAF для API-номики www.itsec.ru Рис. 2. Работа системы для мониторинга API Фото: Вебмониторэкс Рис. 3. Визуализация в линейке продуктов ПроAPI Фото: Вебмониторэкс Рис. 4. Уровни риска Фото: Вебмониторэкс