শীর্ষ OATH API দুর্বলতা
শীর্ষ OATH API দুর্বলতা: ভূমিকা
যখন শোষণের কথা আসে, API গুলি শুরু করার সর্বশ্রেষ্ঠ স্থান। এপিআই অ্যাক্সেস সাধারণত তিনটি অংশ নিয়ে গঠিত। ক্লায়েন্টদের একটি অনুমোদন সার্ভার দ্বারা টোকেন জারি করা হয়, যা API-এর পাশাপাশি চলে। API ক্লায়েন্টের কাছ থেকে অ্যাক্সেস টোকেন গ্রহণ করে এবং তাদের উপর ভিত্তি করে ডোমেন-নির্দিষ্ট অনুমোদনের নিয়ম প্রয়োগ করে।
আধুনিক সফ্টওয়্যার অ্যাপ্লিকেশনগুলি বিভিন্ন বিপদের জন্য ঝুঁকিপূর্ণ। সাম্প্রতিক শোষণ এবং নিরাপত্তা ত্রুটিগুলির উপর গতি বজায় রাখুন; আক্রমণ হওয়ার আগে অ্যাপ্লিকেশন নিরাপত্তা নিশ্চিত করার জন্য এই দুর্বলতার জন্য মানদণ্ড থাকা অপরিহার্য। তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলি ক্রমবর্ধমানভাবে OAuth প্রোটোকলের উপর নির্ভর করছে৷ এই প্রযুক্তির জন্য ব্যবহারকারীদের একটি ভাল সামগ্রিক ব্যবহারকারীর অভিজ্ঞতা, সেইসাথে দ্রুত লগইন এবং অনুমোদন থাকবে। এটি প্রচলিত অনুমোদনের চেয়ে বেশি নিরাপদ হতে পারে কারণ প্রদত্ত সংস্থান অ্যাক্সেস করার জন্য ব্যবহারকারীদের তৃতীয় পক্ষের অ্যাপ্লিকেশনের সাথে তাদের শংসাপত্রগুলি প্রকাশ করতে হবে না। যদিও প্রোটোকল নিজেই নিরাপদ এবং সুরক্ষিত, এটি যেভাবে প্রয়োগ করা হয় তা আপনাকে আক্রমণের জন্য উন্মুক্ত রাখতে পারে।
APIs ডিজাইন এবং হোস্ট করার সময়, এই নিবন্ধটি সাধারণ OAuth দুর্বলতার পাশাপাশি বিভিন্ন নিরাপত্তা প্রশমনের উপর ফোকাস করে।
ভাঙ্গা অবজেক্ট লেভেল অনুমোদন
অনুমোদন লঙ্ঘন করা হলে একটি বিশাল আক্রমণ পৃষ্ঠ আছে যেহেতু APIগুলি বস্তুগুলিতে অ্যাক্সেস প্রদান করে। যেহেতু API- অ্যাক্সেসযোগ্য আইটেমগুলি অবশ্যই প্রমাণীকৃত হতে হবে, এটি প্রয়োজনীয়। একটি API গেটওয়ে ব্যবহার করে অবজেক্ট-লেভেল অনুমোদন চেক প্রয়োগ করুন। শুধুমাত্র উপযুক্ত অনুমতি শংসাপত্র আছে যারা অ্যাক্সেসের অনুমতি দেওয়া উচিত.
ভাঙ্গা ব্যবহারকারী প্রমাণীকরণ
অননুমোদিত টোকেন হল আক্রমণকারীদের API-এ অ্যাক্সেস পাওয়ার আরেকটি ঘন ঘন উপায়। প্রমাণীকরণ সিস্টেম হ্যাক করা হতে পারে, অথবা একটি API কী ভুলভাবে উন্মুক্ত হতে পারে। প্রমাণীকরণ টোকেন হতে পারে হ্যাকারদের দ্বারা ব্যবহৃত অ্যাক্সেস অর্জন করতে। শুধুমাত্র লোকেদের প্রমাণীকরণ করুন যদি তাদের বিশ্বাস করা যায়, এবং শক্তিশালী পাসওয়ার্ড ব্যবহার করুন। OAuth-এর সাহায্যে, আপনি নিছক API কীগুলির বাইরে যেতে পারেন এবং আপনার ডেটাতে অ্যাক্সেস পেতে পারেন। আপনার সবসময় চিন্তা করা উচিত যে আপনি কীভাবে একটি জায়গায় প্রবেশ করবেন এবং বাইরে যাবেন। OAuth MTLS প্রেরক সীমাবদ্ধ টোকেনগুলি মিউচুয়াল TLS-এর সাথে একত্রে ব্যবহার করা যেতে পারে যাতে ক্লায়েন্টরা অন্য মেশিনগুলিতে অ্যাক্সেস করার সময় ভুল আচরণ করে না এবং টোকেনগুলি ভুল পার্টিকে দেয় না।
API প্রচার:
অতিরিক্ত ডেটা এক্সপোজার
প্রকাশিত হতে পারে এমন শেষ পয়েন্টের সংখ্যার উপর কোন সীমাবদ্ধতা নেই। বেশিরভাগ সময়, সমস্ত বৈশিষ্ট্য সমস্ত ব্যবহারকারীর জন্য উপলব্ধ নয়। একেবারে প্রয়োজনীয়তার চেয়ে বেশি ডেটা প্রকাশ করে, আপনি নিজেকে এবং অন্যদের বিপদে ফেলেছেন। সংবেদনশীল প্রকাশ এড়িয়ে চলুন তথ্য যতক্ষণ না এটি একেবারে প্রয়োজনীয়। বিকাশকারীরা OAuth স্কোপ এবং দাবিগুলি ব্যবহার করে কার কী অ্যাক্সেস আছে তা নির্দিষ্ট করতে পারে। দাবিগুলি নির্দিষ্ট করতে পারে ডেটার কোন বিভাগে ব্যবহারকারীর অ্যাক্সেস রয়েছে৷ সমস্ত API জুড়ে একটি আদর্শ কাঠামো ব্যবহার করে অ্যাক্সেস নিয়ন্ত্রণ সহজ এবং পরিচালনা করা সহজ করা যেতে পারে।
সম্পদের অভাব এবং হার সীমাবদ্ধতা
ব্ল্যাক হ্যাটগুলি প্রায়শই ডিনায়াল-অফ-সার্ভিস (DoS) আক্রমণগুলিকে একটি সার্ভারকে অপ্রতিরোধ্য করার একটি নৃশংস উপায় হিসাবে ব্যবহার করে এবং তাই এর আপটাইমকে শূন্যে হ্রাস করে। কল করা যেতে পারে এমন সংস্থানগুলির উপর কোনও বিধিনিষেধ ছাড়াই, একটি API একটি দুর্বল আক্রমণের জন্য ঝুঁকিপূর্ণ৷ 'একটি API গেটওয়ে বা ম্যানেজমেন্ট টুল ব্যবহার করে, আপনি API-এর জন্য রেট সীমাবদ্ধতা সেট করতে পারেন। ফিল্টারিং এবং পেজিনেশন অন্তর্ভুক্ত করা উচিত, সেইসাথে উত্তর সীমাবদ্ধ করা হচ্ছে।
সিকিউরিটি সিস্টেমের ভুল কনফিগারেশন
নিরাপত্তা ভুল কনফিগারেশনের উল্লেখযোগ্য সম্ভাবনার কারণে বিভিন্ন নিরাপত্তা কনফিগারেশন নির্দেশিকা মোটামুটি ব্যাপক। অনেক ছোট জিনিস আপনার প্ল্যাটফর্মের নিরাপত্তাকে বিপন্ন করতে পারে। এটা সম্ভব যে ব্ল্যাক হ্যাটগুলি ভুল উদ্দেশ্যের সাথে একটি উদাহরণ হিসাবে বিকৃত প্রশ্নের উত্তরে পাঠানো সংবেদনশীল তথ্য আবিষ্কার করতে পারে।
গণ অ্যাসাইনমেন্ট
শুধুমাত্র একটি এন্ডপয়েন্ট সর্বজনীনভাবে সংজ্ঞায়িত না হওয়ার কারণে এটি বিকাশকারীদের দ্বারা অ্যাক্সেস করা যাবে না। একটি গোপন API হ্যাকারদের দ্বারা সহজেই আটকানো এবং বিপরীত প্রকৌশলী হতে পারে। এই মৌলিক উদাহরণটি একবার দেখুন, যা একটি "ব্যক্তিগত" API-এ একটি ওপেন বিয়ারার টোকেন ব্যবহার করে। অন্যদিকে, পাবলিক ডকুমেন্টেশন এমন কিছুর জন্য বিদ্যমান থাকতে পারে যা একচেটিয়াভাবে ব্যক্তিগত ব্যবহারের জন্য। উন্মুক্ত তথ্যগুলি কালো টুপি দ্বারা শুধুমাত্র পড়তে নয় বস্তুর বৈশিষ্ট্যগুলিকে ম্যানিপুলেট করার জন্য ব্যবহার করা যেতে পারে। আপনার প্রতিরক্ষায় সম্ভাব্য দুর্বল পয়েন্টগুলি অনুসন্ধান করার সময় নিজেকে একজন হ্যাকার হিসাবে বিবেচনা করুন। যা ফেরত পাঠানো হয়েছে শুধুমাত্র তাদেরই সঠিক অধিকারের অ্যাক্সেসের অনুমতি দিন। দুর্বলতা কমাতে, API প্রতিক্রিয়া প্যাকেজ সীমিত করুন। উত্তরদাতাদের এমন কোনো লিঙ্ক যোগ করা উচিত নয় যা একেবারেই প্রয়োজন নেই।
প্রচারিত API:
অনুপযুক্ত সম্পদ ব্যবস্থাপনা
বিকাশকারীর উত্পাদনশীলতা বাড়ানোর পাশাপাশি, বর্তমান সংস্করণ এবং ডকুমেন্টেশন আপনার নিজের নিরাপত্তার জন্য অপরিহার্য। নতুন সংস্করণের প্রবর্তনের জন্য এবং পুরানো API গুলিকে অবমূল্যায়ন করার জন্য অনেক আগেই প্রস্তুতি নিন। পুরানোদের ব্যবহারে থাকার অনুমতি না দিয়ে নতুন API ব্যবহার করুন। একটি API স্পেসিফিকেশন ডকুমেন্টেশনের জন্য সত্যের প্রাথমিক উত্স হিসাবে ব্যবহার করা যেতে পারে।
ইনজেকশন
APIগুলি ইনজেকশনের জন্য ঝুঁকিপূর্ণ, তবে তৃতীয় পক্ষের বিকাশকারী অ্যাপগুলিও তাই। ক্ষতিকারক কোড ডেটা মুছে ফেলতে বা গোপনীয় তথ্য, যেমন পাসওয়ার্ড এবং ক্রেডিট কার্ড নম্বর চুরি করতে ব্যবহার করা হতে পারে। এটি থেকে দূরে নেওয়ার সবচেয়ে গুরুত্বপূর্ণ পাঠ হল ডিফল্ট সেটিংসের উপর নির্ভর না করা। আপনার ব্যবস্থাপনা বা গেটওয়ে সরবরাহকারী আপনার অনন্য অ্যাপ্লিকেশন চাহিদা মিটমাট করতে সক্ষম হওয়া উচিত। ত্রুটি বার্তা সংবেদনশীল তথ্য অন্তর্ভুক্ত করা উচিত নয়. সিস্টেমের বাইরে ফাঁস হওয়া থেকে আইডেন্টিটি ডেটা প্রতিরোধ করতে, টোকেনে পেয়ারওয়াইজ ছদ্মনাম ব্যবহার করা উচিত। এটি নিশ্চিত করে যে কোনও ক্লায়েন্ট কোনও ব্যবহারকারীকে সনাক্ত করতে একসঙ্গে কাজ করতে পারে না।
অপর্যাপ্ত লগিং এবং মনিটরিং
যখন একটি আক্রমণ ঘটে, দলগুলির একটি সুচিন্তিত প্রতিক্রিয়া কৌশল প্রয়োজন। একটি নির্ভরযোগ্য লগিং এবং মনিটরিং সিস্টেম না থাকলে বিকাশকারীরা ধরা না পড়ে দুর্বলতাগুলিকে কাজে লাগাতে থাকবে, যা লোকসান বাড়াবে এবং কোম্পানি সম্পর্কে জনসাধারণের ধারণাকে ক্ষতিগ্রস্ত করবে। একটি কঠোর API নিরীক্ষণ এবং উত্পাদন শেষ পয়েন্ট পরীক্ষার কৌশল গ্রহণ করুন। হোয়াইট হ্যাট পরীক্ষক যারা প্রথম দিকে দুর্বলতা খুঁজে পায় তাদের একটি বাউন্টি স্কিম দিয়ে পুরস্কৃত করা উচিত। API লেনদেনে ব্যবহারকারীর পরিচয় অন্তর্ভুক্ত করে লগ ট্রেইল উন্নত করা যেতে পারে। নিশ্চিত করুন যে আপনার API আর্কিটেকচারের সমস্ত স্তরগুলি অ্যাক্সেস টোকেন ডেটা ব্যবহার করে নিরীক্ষিত হয়েছে৷
উপসংহার
প্ল্যাটফর্ম স্থপতিরা প্রতিষ্ঠিত দুর্বলতার মানদণ্ড অনুসরণ করে আক্রমণকারীদের থেকে এক ধাপ এগিয়ে রাখার জন্য তাদের সিস্টেমগুলিকে সজ্জিত করতে পারে। যেহেতু APIগুলি ব্যক্তিগতভাবে সনাক্তযোগ্য তথ্য (PII) অ্যাক্সেসযোগ্যতা প্রদান করতে পারে, তাই এই ধরনের পরিষেবাগুলির নিরাপত্তা বজায় রাখা কোম্পানির স্থিতিশীলতা এবং GDPR-এর মতো আইনের সাথে সম্মতি উভয়ের জন্যই গুরুত্বপূর্ণ। এপিআই গেটওয়ে এবং ফ্যান্টম টোকেন অ্যাপ্রোচ ব্যবহার না করে কখনোই সরাসরি কোনো API-এ OAuth টোকেন পাঠাবেন না।
প্রচারিত API:
