• 14-04-2020, 19:58:59
    #1
    arkadaşlar merhabalar,

    uygulamalarınızda rest api güvenliğini nasıl sağlıyorsunuz? malum bazı recorder'lar ile rest api ler deşifre edilebiliyor. bu durumda facebook sms onayı veya bazı sms onayları hariç güvenliği nasıl sağlayabiliriz?

    teşekkürler
  • 14-04-2020, 20:03:43
    #2
    dev
    Kurumsal Üye
    AsoSolutions adlı üyeden alıntı: mesajı görüntüle
    arkadaşlar merhabalar,

    uygulamalarınızda rest api güvenliğini nasıl sağlıyorsunuz? malum bazı recorder'lar ile rest api ler deşifre edilebiliyor. bu durumda facebook sms onayı veya bazı sms onayları hariç güvenliği nasıl sağlayabiliriz?

    teşekkürler
    Guvenlikten kastiniz REST API'lerinin dinlenememesi mi?
  • 14-04-2020, 20:07:02
    #3
    Noroc adlı üyeden alıntı: mesajı görüntüle
    Guvenlikten kastiniz REST API'lerinin dinlenememesi mi?
    bir şekilde rest api ye sahip olunsa dahi, kullanılamaması

    örneğin; e-ticaret uygulamamda ürünleri listeleyen veya ürün eklemeyi sağlayan rest apiler var, bunu recorder ile bulan kişinin kendi tarayıcısında bunu listeleyememesini veya ürün ekleyememesini istiyorum
  • 14-04-2020, 20:34:54
    #4
    dev
    Kurumsal Üye
    AsoSolutions adlı üyeden alıntı: mesajı görüntüle
    bir şekilde rest api ye sahip olunsa dahi, kullanılamaması

    örneğin; e-ticaret uygulamamda ürünleri listeleyen veya ürün eklemeyi sağlayan rest apiler var, bunu recorder ile bulan kişinin kendi tarayıcısında bunu listeleyememesini veya ürün ekleyememesini istiyorum
    En basit olarak token ekleyebilirsiniz. Saate bir token'nin yenilenmesini saglayarak, eski tokenlardan gelen requestleri kabul etmezsiniz.
  • 14-04-2020, 21:55:26
    #5
    Noroc adlı üyeden alıntı: mesajı görüntüle
    En basit olarak token ekleyebilirsiniz. Saate bir token'nin yenilenmesini saglayarak, eski tokenlardan gelen requestleri kabul etmezsiniz.

    ama bu durumda token uygulamaya dönerken yakalar, 1 saat boyunca saldırabilir değil mi



    patlican adlı üyeden alıntı: mesajı görüntüle
    apiyi verdiğiniz her kişiye özel token oluşturur bu tokenlara domain ve ip adresi ekleyebilir . Gelen request tarafında Token, referer ve ip kontrollerini yapar sorun yoksa api iletişimini devam ettirsiniz.
    o zaman saldıran kişi de register formunu çalıştırınca kendine özel bir token sahip olmuş olur, kendi bilgisayarından tek user gibi saldırabilir değil mi
  • 14-04-2020, 22:07:02
    #6
    AsoSolutions adlı üyeden alıntı: mesajı görüntüle
    ama bu durumda token uygulamaya dönerken yakalar, 1 saat boyunca saldırabilir değil mi





    o zaman saldıran kişi de register formunu çalıştırınca kendine özel bir token sahip olmuş olur, kendi bilgisayarından tek user gibi saldırabilir değil mi

    bu bahsi geçen herşeyi aşmanın yöntemi var.
    eğer sunucu tarafı ve kullanıcı tarafı sizin tarafınızdan kodlanıyorsa
    SSL pinning deneyebilirsiniz.
    Aşılır ama en azından %50 60 gibi kitleyi sizden uzak tutar.
    bkz instagram, facebook, twitter...
    örnek ;
    https://medium.com/@eniz.bilgin/andr...g-7fd236243f2b
  • 14-04-2020, 22:11:12
    #7
    AsoSolutions adlı üyeden alıntı: mesajı görüntüle
    o zaman saldıran kişi de register formunu çalıştırınca kendine özel bir token sahip olmuş olur, kendi bilgisayarından tek user gibi saldırabilir değil mi
    benim demek istediğim formu çalıştırırken token oluşturmak değildi ama.
    Sonuçta form xx domain ve xxx ip' sinde çalışacağını düşünürsek, ona da siz karar vereceğiniz için. O domain dışında gelen requestlere izin vermeyebilirsiniz. Benim dediğim yöntemde sadece referer olarak xx domainini ve aynı zamanda domain ile birlikte xxx ipsini gönderebilirse saldırabilir.
  • 15-04-2020, 00:24:02
    #8
    osawashere adlı üyeden alıntı: mesajı görüntüle
    bu bahsi geçen herşeyi aşmanın yöntemi var.
    eğer sunucu tarafı ve kullanıcı tarafı sizin tarafınızdan kodlanıyorsa
    SSL pinning deneyebilirsiniz.
    Aşılır ama en azından %50 60 gibi kitleyi sizden uzak tutar.
    bkz instagram, facebook, twitter...
    örnek ;
    https://medium.com/@eniz.bilgin/andr...g-7fd236243f2b
    teşekkürler



    patlican adlı üyeden alıntı: mesajı görüntüle
    benim demek istediğim formu çalıştırırken token oluşturmak değildi ama.
    Sonuçta form xx domain ve xxx ip' sinde çalışacağını düşünürsek, ona da siz karar vereceğiniz için. O domain dışında gelen requestlere izin vermeyebilirsiniz. Benim dediğim yöntemde sadece referer olarak xx domainini ve aynı zamanda domain ile birlikte xxx ipsini gönderebilirse saldırabilir.
    Web site değilde, mobil uygulama olarak çalışıyor hocam
  • 15-04-2020, 14:54:45
    #9
    Yukarda ki arkadaşın da dediği gibi SSL Pinning ile yapılabilir fakat yinede bulmak isteyen kişi bulur. Bende test etmek için bir çok SSL Pinning üzerinde çalıştım Instagram ve Facebook'un bile GRAPHQL Apisini görebiliyorum. Banka uygulamalarında bile api gözüküyor . Hem token kullanıp , hem SSL Pinning , hem CORS , biraz da user-agent kontrolü vs vs diye güvenliği arttıraibilirsiniz. Ama şunu unutmayın hiç bir zaman tam güvenlik olmayacaktır