Но есть такие вещи, как publi c Поисковая система, которой не требуется аутентификация пользователя, чтобы найти на Facebook человека с помощью поиска или доступа к странице информации о профиле.
Когда Я кодировал в PHP и работал с электронной коммерцией Prestashop. Я использовал Crawler / Bot, похожий на тот, что был в этом гисте , но это легко подделать, потому что он основан на HTTP_USER_AGENT , Лучшим подходом здесь является использование IP-адресов для поиска известных сканеров, таких как поисковые системы, такие как Google и Bing, но это не поможет удержать плохих сканеров и ботов. потому что они очень часто переключают IP-адреса.
Но, пройдя через несколько организаций, мне не удалось получить ни один publi c api-запрос, к которому я мог бы получить доступ через Postman или простой через url.
Такие компании, как Facebook или даже более мелкие компании, располагающие достаточным количеством ресурсов, используют Искусственный интеллект (ИИ), чтобы попытаться провести черту между Кто делает добро и плохо запросы, и этот тип программного обеспечения известен как Аналитика поведения пользователя (UBA) :
Аналитика поведения пользователя (UBA), как определено Gartner, представляет собой процесс кибербезопасности при обнаружении инсайдера. угрозы, целевые атаки и финансовое мошенничество. Решения UBA рассматривают модели поведения людей, а затем применяют алгоритмы и статистический анализ для выявления значимых аномалий из этих моделей - аномалий, которые указывают на потенциальные угрозы. Вместо отслеживания устройств или событий безопасности, UBA отслеживает пользователей системы. Платформы больших данных, такие как Apache Had oop, расширяют функциональность UBA, позволяя им анализировать данные объемом в петабайты для обнаружения внутренних угроз и расширенных постоянных угроз.
Так что, должно быть, именно поэтому Трудно получить доступ к API таких компаний, как Facebook, но это не значит, что это невозможно, потому что хакеры делают это, и количество утечек данных, происходящих каждый год в крупных компаниях, тому подтверждение.
Причина, по которой я задаю этот вопрос, потому что так легко найти какой-нибудь курс MERN Stack, и они научат вас, как обращаться с аутентификацией для авторизованных пользователей и так далее. Или даже технологии LAMP. Но никто не объясняет, как защитить эти данные, не требуя входа какого-либо пользователя.
Ну, это может быть из-за распространенного заблуждения среди разработчиков, которые действительно не понимают разницу между Кто против Что выполняет запрос к серверу API.
Разница между ВОЗ и ЧТО получает доступ к серверу API
Я написал серия статей об API и безопасности для мобильных устройств, а также из статьи Зачем вашему мобильному приложению нужен ключ API? Я процитирую следующее:
что - это то, что делает запрос к серверу API. Действительно ли это подлинный экземпляр вашего мобильного приложения, или это бот, автоматизированный скрипт или злоумышленник, вручную копающийся в вашем API-сервере с помощью такого инструмента, как Postman?
who пользователь мобильного приложения, которое мы можем аутентифицировать, авторизовать и идентифицировать несколькими способами, например, используя OpenID Connect или потоки OAUTH2.
Подумайте о Who как о пользователе вашего API Сервер будет иметь возможность аутентифицировать и авторизовать доступ к данным и думать о What как о программном обеспечении, выполняющем этот запрос от имени пользователя.
Так что, на мой взгляд, многие Разработчики не знают об этой разнице между Кто и Что в запросе, поэтому они концентрируются на решениях для Кто .
Возможные решения
Итак, как мне защитить описанные выше маршруты publi c api в моем бэкэнд-приложении. И как это делают крупные организации, такие как Facebook, Google, LinkedIn и др. c.
В этих организациях используются очень сложные решения UBA, которые могут быть недоступны для каждой организации с точки зрения стоимости или из-за того, что они являются проприетарными, но существуют и другие решения, и вы можете прочитать раздел Защита сервер API на этот другой ответ Я задал вопрос secure api data from calls out of the app, чтобы понять, как можно постепенно повысить безопасность сервера API для веб-приложения.
Если вы Также необходимо защитить сервер API для запросов от мобильного приложения, затем вы можете заблокировать его с очень высокой степенью доверия к своему мобильному приложению, используя концепцию аттестации мобильных приложений, и вы можете прочитать больше об этом в этот ответ Я дал на вопрос Как обезопасить API REST для мобильного приложения? .
Хотите Go лишнюю милю?
Я не могу закончить sh любой ответ на секретный вопрос без ссылки на превосходную работу от фонда OW ASP.
Для веб-приложения s
OW ASP Топ 10 веб-рисков
OW ASP Топ 10 - мощный информационный документ для безопасности веб-приложений. Он представляет широкий консенсус в отношении наиболее критических угроз безопасности для веб-приложений. В число участников проекта входят различные эксперты по безопасности со всего мира, которые поделились своими знаниями для составления этого списка.
Руководство по тестированию веб-безопасности :
Руководство по тестированию веб-безопасности OW ASP включает в себя среду для тестирования на проникновение "передовой опыт", которую пользователи могут внедрять в своих организациях, и руководство по тестированию на проникновение "низкого уровня", в котором описываются методы тестирования наиболее распространенных веб-приложений и безопасности веб-сервисов. проблемы.
Для мобильных приложений
OW ASP Проект Mobile Security - 10 основных рисков
OW ASP Mobile Security Project - это централизованный ресурс, предназначенный для того, чтобы предоставить разработчикам и командам безопасности ресурсы, необходимые для создания и поддержки безопасных мобильных приложений. В рамках проекта наша цель состоит в том, чтобы классифицировать риски для безопасности мобильных устройств и обеспечить средства управления развитием, чтобы уменьшить их влияние или вероятность эксплуатации.
OW ASP - Руководство по тестированию безопасности мобильных устройств :
Руководство по тестированию безопасности мобильных устройств (MSTG) - это всеобъемлющее руководство по разработке, тестированию и реверс-инжинирингу безопасности мобильных приложений.
Для APIS
OW ASP API Security Top 10
OW ASP API Security Project стремится обеспечить ценность разработчикам программного обеспечения и оценщикам безопасности, подчеркивая потенциальные риски в небезопасных API, и иллюстрирующий, как эти риски могут быть смягчены. Для достижения этой цели проект безопасности API OW ASP создаст и будет поддерживать документ «Топ 10 угроз безопасности API», а также портал документации для рекомендаций по созданию и оценке API.