API security summery APIのセキュリティに関して

1. API Security Summery
Date: 2020 03 09
ManabuYatabe

2. 3
2
1 Way to Infiltrate APIs
Agenda
Security Report
API Security Requirements
Approaches to API Security

3. Login Attacks
ブルートフォースアタック（Brute Force Attack）
クレデンシャルスタッフィング（Credential Stuffing）
DoS & DDoS Attacks
DDoS攻撃（Distributed Denial of Service attack)
Way to Infiltrate APIs
Application & Data Attacks
データ抽出または盗難（Information gathering）
インジェクション攻撃(Injection attack／Code injection)

4. 可視化：Visibility
APIの起動に関するログの収集と分析
API Security Requirements
トラフィック管理：Traffic Management
通常と異なるトラフィックの確認、属性毎の通信状況の把握
データセキュリティ管理： Data Security
通常と異なる呼び出され方、特権操作の確認
アクセス管理： Access Control
公開する範囲の妥当性、使用できるユーザとアクセス権の管理

5. Don't use Basic Auth. Use standard authentication instead
（ベーシック認証は使用しない）
Use Max Retry and jail features in Login.
（どこかのスマホアプリで制限がないことで不正アクセスがあった）
Approaches to API Security
Limit requests (Throttling) to avoid DDoS / brute-force attacks.
（リクエスト数でチェックする）
※リソースの動的確保は個人的には推奨しません。
Validate user input to avoid common vulnerabilities (e.g. XSS, SQL-Injection, Remote Code Execution, etc.)
（インプットのバリデーションチェック）
Don't auto-increment IDs. UseUUID instead.
（単純な自動採番をしない）
※その他、URLやレスポンスに個人情報・サーバ情報などヒントになるものを返さない・表示しない

6. https://www.cyberdefensemagazine.com/the-growing-importance-of-api-security/1
https://github.com/shieldfy/API-Security-Checklist
https://www.programmableweb.com/news/how-does-your-api-security-stand-against-3-most-
common-attacks/sponsored-content/2019/01/03
2
3
reference

7. E M A I L
m y a t a b e . p o e . n n @ g m a i l . c o m
THANK YOU
T w i t t e r
@ m y a t a b e 1