2. 3
2
1 Way to Infiltrate APIs
Agenda
Security Report
API Security Requirements
Approaches to API Security
3. Login Attacks
ブルートフォースアタック(Brute Force Attack)
クレデンシャルスタッフィング(Credential Stuffing)
DoS & DDoS Attacks
DDoS攻撃(Distributed Denial of Service attack)
Way to Infiltrate APIs
Application & Data Attacks
データ抽出または盗難(Information gathering)
インジェクション攻撃(Injection attack/Code injection)
5. Don't use Basic Auth. Use standard authentication instead
(ベーシック認証は使用しない)
Use Max Retry and jail features in Login.
(どこかのスマホアプリで制限がないことで不正アクセスがあった)
Approaches to API Security
Limit requests (Throttling) to avoid DDoS / brute-force attacks.
(リクエスト数でチェックする)
※リソースの動的確保は個人的には推奨しません。
Validate user input to avoid common vulnerabilities (e.g. XSS, SQL-Injection, Remote Code Execution, etc.)
(インプットのバリデーションチェック)
Don't auto-increment IDs. UseUUID instead.
(単純な自動採番をしない)
※その他、URLやレスポンスに個人情報・サーバ情報などヒントになるものを返さない・表示しない