Kodėl API yra ypač pažeidžiami?
Programinės sąsajos jungia vidines ir išorines sistemas, apdoroja jautrius duomenis ir veikia automatizuotai. OWASP API Security Top 10 dokumentuoja pasikartojančias pažeidžiamumų klases.
Autentifikacija ir autorizacija — pagrindas
OAuth2 su Authorization Code ir PKCE srautu yra aukso standartas. Server-to-server komunikacijai tinka Client Credentials srautas su trumpalaikiais prieigos tokenais.
- Prieigos tokenai: maksimalus gyvavimo laikas 15-60 minučių
- Atnaujinimo tokenai: saugomi httpOnly slapukuose
- API raktų rotacija: privaloma, automatizuota
- Kiekvieno iškvietimo teisių apimties tikrinimas
Rate limiting kaip apsauga nuo piktnaudžiavimo
Iškvietimų skaičiaus ribojimas laiko vienetui apsaugo nuo brute force atakų, duomenų scraping, DDoS ir atsitiktinio perkrovimo. 429 klaidos kodas turėtų apimti Retry-After antraštę.
WAF ir API srauto tikrinimas
Naujos kartos WAF supranta API struktūrą — tikrina JSON teisingumą, aptinka injection bandymus, blokuoja žinomus exploit modelius.
Stebėjimas ir anomalijų aptikimas
ESKOM.AI projektuoja API saugumą kaip integruotą architektūros elementą. Kiekvienas API praeina OWASP API Top 10 pažeidžiamumo vertinimą prieš patekdamas į gamybą.