arkadaşlar merhabalar,
uygulamalarınızda rest api güvenliğini nasıl sağlıyorsunuz? malum bazı recorder'lar ile rest api ler deşifre edilebiliyor. bu durumda facebook sms onayı veya bazı sms onayları hariç güvenliği nasıl sağlayabiliriz?
teşekkürler
rest api güvenliği [yardım, soru]
10
●453
- 14-04-2020, 19:58:59
- 14-04-2020, 20:03:43Guvenlikten kastiniz REST API'lerinin dinlenememesi mi?AsoSolutions adlı üyeden alıntı: mesajı görüntüle
- 14-04-2020, 20:07:02bir şekilde rest api ye sahip olunsa dahi, kullanılamamasıNoroc adlı üyeden alıntı: mesajı görüntüle
örneğin; e-ticaret uygulamamda ürünleri listeleyen veya ürün eklemeyi sağlayan rest apiler var, bunu recorder ile bulan kişinin kendi tarayıcısında bunu listeleyememesini veya ürün ekleyememesini istiyorum - 14-04-2020, 20:34:54En basit olarak token ekleyebilirsiniz. Saate bir token'nin yenilenmesini saglayarak, eski tokenlardan gelen requestleri kabul etmezsiniz.AsoSolutions adlı üyeden alıntı: mesajı görüntüle
- 14-04-2020, 21:55:26Noroc adlı üyeden alıntı: mesajı görüntüle
ama bu durumda token uygulamaya dönerken yakalar, 1 saat boyunca saldırabilir değil mi
o zaman saldıran kişi de register formunu çalıştırınca kendine özel bir token sahip olmuş olur, kendi bilgisayarından tek user gibi saldırabilir değil mipatlican adlı üyeden alıntı: mesajı görüntüle - 14-04-2020, 22:07:02AsoSolutions adlı üyeden alıntı: mesajı görüntüle
bu bahsi geçen herşeyi aşmanın yöntemi var.
eğer sunucu tarafı ve kullanıcı tarafı sizin tarafınızdan kodlanıyorsa
SSL pinning deneyebilirsiniz.
Aşılır ama en azından %50 60 gibi kitleyi sizden uzak tutar.
bkz instagram, facebook, twitter...
örnek ;
https://medium.com/@eniz.bilgin/andr...g-7fd236243f2b - 14-04-2020, 22:11:12benim demek istediğim formu çalıştırırken token oluşturmak değildi ama.AsoSolutions adlı üyeden alıntı: mesajı görüntüle
Sonuçta form xx domain ve xxx ip' sinde çalışacağını düşünürsek, ona da siz karar vereceğiniz için. O domain dışında gelen requestlere izin vermeyebilirsiniz. Benim dediğim yöntemde sadece referer olarak xx domainini ve aynı zamanda domain ile birlikte xxx ipsini gönderebilirse saldırabilir. - 15-04-2020, 00:24:02teşekkürlerosawashere adlı üyeden alıntı: mesajı görüntüle
Web site değilde, mobil uygulama olarak çalışıyor hocampatlican adlı üyeden alıntı: mesajı görüntüle - 15-04-2020, 14:54:45Yukarda ki arkadaşın da dediği gibi SSL Pinning ile yapılabilir fakat yinede bulmak isteyen kişi bulur. Bende test etmek için bir çok SSL Pinning üzerinde çalıştım Instagram ve Facebook'un bile GRAPHQL Apisini görebiliyorum. Banka uygulamalarında bile api gözüküyor
. Hem token kullanıp , hem SSL Pinning , hem CORS , biraz da user-agent kontrolü vs vs diye güvenliği arttıraibilirsiniz. Ama şunu unutmayın hiç bir zaman tam güvenlik olmayacaktır
. Hem token kullanıp , hem SSL Pinning , hem CORS , biraz da user-agent kontrolü vs vs diye güvenliği arttıraibilirsiniz. Ama şunu unutmayın hiç bir zaman tam güvenlik olmayacaktır