مشمولات چھپائیں
1 API سیکیورٹی کے لیے 262-000177-001 OWASP ٹاپ 10
2 پروڈکٹ کی معلومات
2.1 وضاحتیں
2.2 مصنوعات کے استعمال کی ہدایات
2.2.1 API سیکیورٹی کا تعارف
2.2.2 API سیکیورٹی چیٹ شیٹ
2.2.3 ڈویلپر گائیڈ اوورview
2.3 اکثر پوچھے گئے سوالات (FAQ)
2.3.1 سوال: API سیکیورٹی کیوں اہم ہے؟
2.3.2 س: میں محفوظ APIs کو کیسے نافذ کر سکتا ہوں؟
2.3.3 دستاویزات / وسائل
2.3.3.1 حوالہ جات

API سیکیورٹی کے لیے 262-000177-001 OWASP ٹاپ 10

"

پروڈکٹ کی معلومات

وضاحتیں

  • پروڈکٹ کا نام: API کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ
    سیکورٹی
  • مشمولات: API سیکورٹی چیٹ شیٹ، تعریفیں، اور تفصیلی
    API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے رہنما

مصنوعات کے استعمال کی ہدایات

API سیکیورٹی کا تعارف

ڈویلپر گائیڈ اس پر جامع معلومات فراہم کرتا ہے۔
API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10، مشترکہ سیکیورٹی کو نمایاں کرتا ہے۔
APIs کے ساتھ ایپلی کیشنز تیار کرتے وقت خطرات۔

API سیکیورٹی چیٹ شیٹ

دھوکہ دہی کی شیٹ API سیکیورٹی کے درج ذیل زمروں کی فہرست دیتی ہے۔
خطرات:

  1. ٹوٹے ہوئے آبجیکٹ لیول کی اجازت
  2. ٹوٹی ہوئی تصدیق
  3. ٹوٹی ہوئی آبجیکٹ پراپرٹی لیول کی اجازت
  4. غیر محدود وسائل کی کھپت
  5. ٹوٹا ہوا فنکشن لیول کی اجازت
  6. حساس کاروباری بہاؤ تک غیر محدود رسائی
  7. سرور سائیڈ کی درخواست کی جعلسازی
  8. سیکیورٹی کی غلط کنفیگریشن
  9. انوینٹری کا غلط انتظام
  10. APIs کا غیر محفوظ استعمال

ڈویلپر گائیڈ اوورview

گائیڈ ہر API سیکورٹی رسک کے زمرے میں شامل ہے، فراہم کرتا ہے۔
تفصیلی وضاحتیں اور رہنمائی اس سے نمٹنے اور کم کرنے کے طریقے کے بارے میں
ان خطرات کو مؤثر طریقے سے.

اکثر پوچھے گئے سوالات (FAQ)

سوال: API سیکیورٹی کیوں اہم ہے؟

A: API سیکیورٹی بہت اہم ہے کیونکہ APIs اکثر حساس ڈیٹا کو بے نقاب کرتے ہیں۔
اور اطلاق کی منطق، جو انہیں حملہ آوروں کے لیے بنیادی ہدف بناتی ہے۔
ڈیٹا کی خلاف ورزیوں کو روکنے کے لیے APIs کو محفوظ بنانا ضروری ہے۔
مجموعی نظام کی حفاظت کو یقینی بنانا۔

س: میں محفوظ APIs کو کیسے نافذ کر سکتا ہوں؟

A: محفوظ APIs کو نافذ کرنے کے لیے، بہترین طریقوں پر عمل کریں جیسے
مناسب توثیق، اجازت کے طریقہ کار، ان پٹ کی توثیق،
حساس ڈیٹا کی خفیہ کاری، اور سیکیورٹی کے باقاعدہ جائزے اور
اپ ڈیٹس

''

View Fullscreen

وائٹ پیپر
API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ

مشمولات

API سیکورٹی دھوکہ شیٹ

5

تعریفیں

5

API1:2023- ٹوٹے ہوئے آبجیکٹ لیول کی اجازت

7

API2:2023 – ٹوٹی ہوئی تصدیق

8

API3:2023- ٹوٹی ہوئی آبجیکٹ پراپرٹی لیول کی اجازت

9

API4:2023–غیر محدود وسائل کی کھپت

11

API5:2023- ٹوٹے ہوئے فنکشن لیول کی اجازت

13

API6:2023– حساس کاروباری بہاؤ تک غیر محدود رسائی

14

API7:2023-سرور سائیڈ درخواست کی جعلسازی

16

API8:2023–سیکیورٹی غلط کنفیگریشن

18

API9:2023- نامناسب انوینٹری مینجمنٹ

19

API10:2023- APIs کا غیر محفوظ استعمال

21

API سیکورٹی ٹاپ 10 کافی نہیں ہے!

23

نتیجہ

23

API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ

2/23

چونکہ کمپنیوں نے کلاؤڈ-نیٹیو انفراسٹرکچر اور DevOp طرز کے طریقہ کار کو اپنایا ہے، web ایپلیکیشن پروگرامنگ انٹرفیس، یا APIs، پھیل چکے ہیں۔ کچھ مقبول ترین عوامی APIs میں وہ شامل ہیں جو ڈویلپرز کو گوگل سرچ تک رسائی، TikTok سے ڈیٹا سکریپ کرنے، گاڑیوں کو ٹریک کرنے، کھیلوں کے اسکورز جمع کرنے، اور مقبول سائٹس سے امیج ڈاؤن لوڈز پر ڈیٹا اکٹھا کرنے کی اجازت دیتے ہیں۔ 1 2023 میں، API سے متعلقہ ٹریفک تمام ڈائنامک کا 58 فیصد ہے- جسے نان کیچ ایبل-ٹریفک کے طور پر بیان کیا گیا ہے، جو کہ آخر میں 54 فیصد سے بڑھ کر 2021.2 فیصد ہے۔
APIs انٹرپرائز ایپلی کیشنز کے لیے ایک دوسرے کے ساتھ بات چیت اور انضمام کا طریقہ بن گئے ہیں۔ کمپنیاں اپنی ایپلی کیشنز کو پارٹنرز سے منسلک کرنے کے لیے اپنے APIs کا تقریباً دو تہائی (64%) استعمال کرتی ہیں، جب کہ تقریباً نصف (51%) مائیکرو سروسز تک رسائی کے مقامات ہیں۔ مجموعی طور پر، تین چوتھائی سے زیادہ فرمیں فی درخواست اوسطاً کم از کم 25 APIs استعمال کرتی ہیں۔
API پر مبنی ایپلیکیشن انفراسٹرکچر کو اپنانا کوئی تعجب کی بات نہیں ہونی چاہئے: وہ کمپنیاں جو تھرڈ پارٹی ڈویلپرز کو راغب کرنے اور ماحولیاتی نظام تخلیق کرنے کے لئے APIs کو اپناتی ہیں ان میں اضافہ ہوتا ہے۔ چیپ مین یونیورسٹی اور بو 4 کے محققین کے 2022 کے ایک مقالے کے مطابق، یہ "الٹی ​​فرم" - اس لیے کہلاتی ہیں کہ وہ ٹیکنالوجیز کے گرد رکاوٹیں پیدا کرنے کے روایتی تصورات کو پلٹائیں اور کچھ صلاحیتوں اور ڈیٹا تک کھلی رسائی کی اجازت دیتی ہیں- دو سالوں کے دوران تقریباً 13 فیصد اور 16 سالوں میں 39 فیصد اضافہ ہوا، ان فرموں کے مقابلے جنہوں نے APIs کو اختیار نہیں کیا۔
تاہم، مائیکرو سروسز، کنٹینرائزیشن، اور APIs کو اپنانے کے ساتھ، مختلف قسم کے خطرات آتے ہیں، جیسے کہ غیر محفوظ سافٹ ویئر کے اجزاء، ناقص کاروباری منطق، اور ناقص ڈیٹا سیکیورٹی۔ دس میں سے نو تنظیموں (92%) کو غیر محفوظ APIs سے متعلق کم از کم ایک سیکیورٹی واقعے کا سامنا کرنا پڑا ہے۔ 5 بڑی کمپنیوں کے پاس عام طور پر ہزاروں APIs ہوتے ہیں اور ان سسٹمز پر ہونے والے حملے سیکیورٹی واقعات کا تقریباً 20 فیصد ہوتے ہیں، جب کہ چھوٹی کمپنیوں کے پاس سیکڑوں APIs ہوتے ہیں جن کے چھوٹے حملے سیکیورٹی کے واقعات کا پانچ فیصد ہوتے ہیں۔ عالمی سطح پر، مارش میک لینن کے ایک اندازے کے مطابق۔7
1 آریلانو، کیلی۔ سرفہرست 50 سب سے زیادہ مقبول APIs۔ RapidAPI بلاگ۔ RapidAPI۔ Web صفحہ 16 مارچ 2023۔
2 Tremante, Michael, et al. ایپلیکیشن سیکیورٹی رپورٹ: Q2 2023۔ Cloudflare بلاگ۔ Cloudflare. بلاگ پوسٹ۔ 21 اگست 2023۔
3 مارکس، میلنڈا۔ API اٹیک کی سطح کو محفوظ بنانا۔ انٹرپرائز اسٹریٹجی گروپ۔ پالو آلٹو نیٹ ورکس کے زیر اہتمام۔ پی ڈی ایف رپورٹ، صفحہ۔ 10. 23 مئی 2023۔
4 بینزیل، سیٹھ جی، وغیرہ۔ کس طرح APIs فرم کو الٹ کر ترقی پیدا کرتے ہیں۔ سوشل سائنس ریسرچ نیٹ ورک تحقیقی مقالہ۔ نظر ثانی شدہ: 30 دسمبر 2022۔
5 API اٹیک کی سطح کو محفوظ بنانا۔ انٹرپرائز سٹریٹیجی گروپ، صفحہ۔ 14. 6 لیموس، رابرٹ۔ API سیکیورٹی سے کل اربوں کا نقصان ہوتا ہے، لیکن یہ پیچیدہ ہے۔ ڈارک ریڈنگ۔
نیوز آرٹیکل. 30 جون 2022۔ 7 مارش میکلینن۔ API عدم تحفظ کی لاگت کا اندازہ لگانا۔ Imperva کی طرف سے سپانسر.
پی ڈی ایف رپورٹ۔ 22 جون 2022۔

API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ

3/23

2023 API سیکورٹی ٹاپ 10 فہرست ان دس سب سے عام اور سنگین سیکورٹی خطرات کو نمایاں کرتی ہے جو APIs کو ظاہر کرنے یا استعمال کرنے والی ایپلی کیشنز کو تیار کرتے وقت پیدا ہوتے ہیں۔

مسئلہ اتنا سنگین ہے کہ US نیشنل سیکیورٹی ایجنسی نے آسٹریلیا کے سائبر سیکیورٹی سینٹر (ACSC) اور US Cybersecurity and Infrastructure Security Agency (CISA) کے ساتھ مل کر API سیکیورٹی کے مسائل، خاص طور پر سب سے عام، غیر محفوظ براہ راست آبجیکٹ ریفرنس (IDOR) کے خطرات کے بارے میں رہنمائی پیش کی۔
حیرت کی بات نہیں، بڑھتے ہوئے سیکیورٹی خدشات کے پس منظر میں، اوپن ورلڈ وائیڈ ایپلیکیشن سیکیورٹی پروجیکٹ (OWASP) نے اپنی API سیکیورٹی ٹاپ-10 فہرست میں ایک اپ ڈیٹ جاری کیا۔ اپنی افتتاحی 2019 کی فہرست کو تازہ کرتے ہوئے، 2023 API سیکیورٹی ٹاپ-10 فہرست ان دس سب سے عام اور سنگین سیکیورٹی خطرات کو اجاگر کرتی ہے جو APIs کو ظاہر کرنے یا استعمال کرنے والی ایپلی کیشنز کو تیار کرتے وقت پیدا ہوتے ہیں۔ بروکن آبجیکٹ لیول کی اجازت جیسے مسائل، ایک سپر سیٹ جس میں IDOR کمزوریاں شامل ہیں، پہلے کی فہرست سے وہی رہتی ہیں۔ پھر بھی، نئی کیٹیگریز–یا دوبارہ منظم کیٹیگریز–اب ماضی میں نظر انداز کیے گئے مسائل کو اجاگر کرتی ہیں، جیسے کہ سرور سائیڈ ریکوسٹ فورجری (API7:2023) اور حساس کاروباری بہاؤ تک غیر محدود رسائی (API6:2023)۔
OWASP گروپ نے اپنے اعلان میں کہا، "فطری طور پر، APIs ایپلی کیشن کی منطق اور حساس ڈیٹا جیسے کہ ذاتی طور پر قابل شناخت معلومات (PII) کو بے نقاب کرتے ہیں اور اس کی وجہ سے، APIs تیزی سے حملہ آوروں کے لیے ایک ہدف بن گئے ہیں۔" OWASP گروپ نے اپنے اعلان میں کہا۔

8 نئی سائبرسیکیوریٹی ایڈوائزری کے بارے میں انتباہ Web ایپلیکیشن کی کمزوریاں۔ نیشنل سیکیورٹی ایجنسی۔ پریس ریلیز۔ 27 جولائی 2023۔
9 دنیا بھر میں ایپلیکیشن سیکیورٹی پروجیکٹ کھولیں۔ OWASP API سیکیورٹی ٹاپ 10: فارورڈ۔ OWASP.org Web صفحہ 3 جولائی 2023۔

API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ

4/23

API سیکورٹی دھوکہ شیٹ

OWASP ٹاپ 10 کیٹیگری 1. ٹوٹی ہوئی آبجیکٹ لیول کی اجازت 2. ٹوٹی ہوئی تصدیق 3. ٹوٹی ہوئی آبجیکٹ پراپرٹی لیول کی اجازت 4. غیر محدود وسائل کی کھپت 5. ٹوٹے ہوئے فنکشن لیول کی اجازت 6. حساس کاروباری بہاؤ تک غیر محدود رسائی 7. سرور سائڈ کی درخواست فورجیری 9. Imvent سیکیورٹی مینجمنٹ 8. Improvent Configory10. APIs کا غیر محفوظ استعمال

سائبرسیکیوریٹی حل SAST SAST, DAST SAST, DAST SAST, DAST, Secure API مینیجر SAST DAST DAST SAST, DAST Secure API مینیجر SCA, SAST

تعریفیں
API اختتامی نقطہ - دو نظاموں کے درمیان مواصلات کا نقطہ، عام طور پر a URL مائیکرو سروس چلانے والے کنٹینر یا سرور کا۔ ایک کا استعمال کرتے ہوئے URL، ایک ایپلیکیشن یا ڈویلپر سرور سے معلومات کی درخواست کر سکتا ہے یا API سرور یا مائیکرو سروس پر کارروائی کر سکتا ہے۔
API سے متعلقہ ٹریفک–انٹرنیٹ ٹریفک جو HTTP یا HTTPS درخواست پر مشتمل ہوتا ہے اور اس میں XML یا JSON کا جوابی مواد ہوتا ہے، جس سے یہ ظاہر ہوتا ہے کہ ڈیٹا کسی ایپلیکیشن کو منتقل کیا جا رہا ہے، عام طور پر SOAP، WSDL، ایک REST API، یا gRPC (نیچے دیکھیں)۔
ڈائنامک ایپلیکیشن سیکیورٹی ٹیسٹنگ (DAST) - انٹرفیس کا استعمال کرتے ہوئے کسی ایپلیکیشن یا API سرور کا تجزیہ کرنے کا عمل، چاہے کسی ایپلیکیشن کے لیے یوزر انٹرفیس، a web ایک کے لئے سامنے کے آخر میں web درخواست، یا URLs API اینڈ پوائنٹس کے لیے۔ بلیک باکس ٹیسٹنگ کی قسم میں، یہ نقطہ نظر کسی ایپلیکیشن پر "باہر اندر" سے کسی ایپلیکیشن پر حملہ کرنے والے کی طرح، عام طور پر اندرونی عمل کے بارے میں علم کے بغیر، اس کا جائزہ لیتا ہے۔
اسٹیٹک ایپلیکیشن سیکیورٹی ٹیسٹنگ (SAST) - ایپلیکیشن سیکیورٹی کے لیے ایک نقطہ نظر جو غلطیوں یا کمزوریوں کے تسلیم شدہ نمونوں کے لیے سورس، بائنری یا بائٹ کوڈ کو اسکین کرتا ہے۔ کبھی کبھی وائٹ باکس ٹیسٹنگ کے طور پر بھی جانا جاتا ہے، SAST ایک "اندر سے باہر" نقطہ نظر کا استعمال کرتا ہے جو ممکنہ کمزوریوں اور غلطیوں کی نشاندہی کرتا ہے جو کسی بیرونی حملہ آور کے ذریعہ فائدہ مند ہوسکتی ہیں، یا نہیں ہوسکتی ہیں۔ ہلکے وزن کے جامد ٹولز ڈیولپرز کو ان کے IDE میں حقیقی وقت میں فیڈ بیک فراہم کر سکتے ہیں۔

API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ

5/23

ٹوٹے ہوئے آبجیکٹ لیول کی اجازت ایک وسیع اور آسان مسئلہ ہے جس کا استحصال کیا جا سکتا ہے۔ web ایپلی کیشنز کیونکہ API کالز ریاستی معلومات رکھتی ہیں۔ ایپلیکیشنز خطرے سے دوچار ہوتی ہیں اگر وہ کسی صارف کو API میں شناخت کنندہ کی وضاحت کر کے یہ چیک کیے بغیر کارروائی کرنے کی اجازت دیتی ہیں کہ آیا ان کے پاس یہ کارروائیاں کرنے کی اجازت ہے۔

SOAP/WSDL – تخلیق کرنے کے لیے ایک XML پر مبنی پروٹوکول Web APIs SOAP خود پروٹوکول ہے اور WSDL (Web سروس ڈیفینیشن لینگویج) وہ فارمیٹ ہے جو خدمات کو باضابطہ طور پر بیان کرنے کے لیے استعمال ہوتا ہے۔ بھاری اوور ہیڈ کی وجہ سے، یہ API اسٹائل نئی پیشرفت کے لیے غیر مقبول ہو گیا ہے۔
REST-A Web API اسٹائل جس میں HTTP کے سیمنٹکس کا استعمال کرتے ہوئے براہ راست HTTP پر پیغامات کا تبادلہ شامل ہوتا ہے۔ URLs اور فعل، ایک اضافی "لفافہ" استعمال کیے بغیر۔ مواد کو عام طور پر JSON کے بطور انکوڈ کیا جاتا ہے، حالانکہ بعض صورتوں میں یہ XML ہے۔
GraphQL–ایک استفسار کی زبان جسے APIs میں استعمال کرنے کے لیے ڈیزائن کیا گیا ہے (JSON میں درخواستوں اور جوابات کے ساتھ)، ان سوالات کو انجام دینے کے لیے سرور سائیڈ رن ٹائمز کے ساتھ۔ یہ کلائنٹس کو ڈیٹا کی ساخت کی وضاحت کرنے کی اجازت دیتا ہے جس کی انہیں ضرورت ہوتی ہے اور پھر اسے سرور سے اس فارمیٹ میں وصول کرتے ہیں۔
gRPC–ایک API پروٹوکول جو REST سے زیادہ اعلیٰ کارکردگی کا حامل ہے۔ یہ HTTP/2 اور پرفارمنس ایڈون کا استعمال کرتا ہے۔tages جو HTTP/1.1 سے زیادہ پیش کرتا ہے۔ انفرادی پیغامات کا فارمیٹ عام طور پر بائنری ہوتا ہے اور پروٹو بف پر مبنی ہوتا ہے، جو دوبارہ کارکردگی کا ایڈون بناتا ہے۔tagREST اور صابن سے زیادہ۔

2023 API سیکورٹی ٹاپ 10

یکساں 2019 API سیکیورٹی اندراج

API1:2023- ٹوٹے ہوئے آبجیکٹ لیول کی اجازت

API1:2019- ٹوٹے ہوئے آبجیکٹ لیول کی اجازت

API2:2023 – ٹوٹی ہوئی تصدیق

API2: 2019 – ٹوٹا ہوا صارف کی توثیق

API3:2023- ٹوٹی ہوئی آبجیکٹ پراپرٹی لیول کی اجازت

API3: 2019– ضرورت سے زیادہ ڈیٹا کی نمائش، API6: 2019– بڑے پیمانے پر تفویض

API4:2023–غیر محدود وسائل کی کھپت

API4:2019– وسائل کی کمی اور شرح کی حد بندی

API5:2023- ٹوٹے ہوئے فنکشن لیول کی اجازت

API5:2019- ٹوٹے ہوئے فنکشن لیول کی اجازت

API6:2023– حساس کاروباری بہاؤ تک غیر محدود رسائی

API7:2023-سرور سائیڈ درخواست کی جعلسازی

API8:2023–Security Misconfiguration API7:2019–Security Misconfiguration

API9:2023- نامناسب انوینٹری مینجمنٹ

API9:2019– نامناسب اثاثوں کا انتظام

API10:2023- APIs کا غیر محفوظ استعمال

API8:2019–انجیکشن، API10:2019–ناکافی لاگنگ اور مانیٹرنگ

Source: https://owasp.org/API-Security/editions/2023/en/0x11-t10/ Source: https://owasp.org/API-Security/editions/2019/en/0x11-t10/

API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ

6/23

ڈویلپرز اور ایپلیکیشن سیکیورٹی ٹیموں کو بھی تصدیق کے ذریعے صارف کی شناخت کی جانچ کرنے کی صلاحیتوں کو صحیح طریقے سے نافذ کرنا چاہیے۔

API1:2023- ٹوٹے ہوئے آبجیکٹ لیول کی اجازت
یہ کیا ہے؟
APIs معیاری استعمال کرتے ہوئے خدمات اور ڈیٹا تک رسائی کی اجازت دیتے ہیں۔ web درخواستیں کمپنیاں اپنے بنیادی ڈھانچے اور ڈیٹا کو غیر محفوظ براہ راست رسائی کے لیے بے نقاب کرتی ہیں جب وہ اثاثے اچھی طرح سے محفوظ نہیں ہوتے ہیں یا جب اجازت کے کنٹرول خراب طریقے سے لاگو ہوتے ہیں یا غیر حاضر ہوتے ہیں۔ ٹوٹے ہوئے آبجیکٹ لیول کی اجازت – جسے غیر محفوظ ڈائریکٹ آبجیکٹ ریفرنس (IDOR) بھی کہا جاتا ہے – ڈیٹا کے انکشاف سے لے کر مکمل اکاؤنٹ ٹیک اوور تک متعدد خطرات کا باعث بن سکتا ہے۔
کیا چیز کسی درخواست کو کمزور بناتی ہے؟
یہ ایک وسیع پیمانے پر اور آسانی سے استحصال کا مسئلہ ہے۔ web ایپلی کیشنز ایپلیکیشنز خطرے سے دوچار ہوتی ہیں اگر وہ کسی صارف کو API میں شناخت کنندہ کی وضاحت کر کے یہ چیک کیے بغیر کارروائی کرنے کی اجازت دیتی ہیں کہ آیا ان کے پاس یہ کارروائیاں کرنے کی اجازت ہے۔
ایک سابق میںampOWASP کی طرف سے تفصیلی، آن لائن اسٹورز کے لیے ایک پلیٹ فارم ایک سادہ کال کا استعمال کرتے ہوئے خریداری کے ڈیٹا تک رسائی کی اجازت دے سکتا ہے:
/shops/{shopName}/revenue _ data.json
یہ غیر محفوظ ہے کیونکہ کوئی بھی صارف shopName کو کسی دوسرے صارف کے اسٹور کے نام سے بدل سکتا ہے، اور اس ڈیٹا تک رسائی حاصل کر سکتا ہے جو اسے نہیں ہونا چاہیے۔
حملہ سابقamples
2021 میں، ایک سیکورٹی محقق نے پایا کہ web-اپلیکیشن اور بیک اینڈ سرورز جنہوں نے پیلوٹن ایکسرسائز بائک کو ڈیٹا فراہم کیا ان کے پاس کئی API اینڈ پوائنٹس تھے جو غیر مستند صارفین کو نجی ڈیٹا تک رسائی کی اجازت دیتے تھے۔ فروری 2021 میں، پیلوٹن نے اس مسئلے کے لیے ایک جزوی حل نافذ کیا، جس سے تصدیق شدہ صارفین تک API کی رسائی کو محدود کیا گیا، لیکن پھر بھی ان صارفین کو دوسرے اراکین کے لیے کسی بھی نجی ڈیٹا تک رسائی کی اجازت دی گئی۔ ایک مکمل فکس مئی 2021.10 میں آیا
بطور ڈویلپر اسے کیسے روکا جائے؟
ڈویلپرز سخت کنٹرولز کو نافذ کرکے، اکاؤنٹس کی گنتی کو روکنے کے لیے غیر متوقع صارف شناخت کنندگان کو تفویض کرکے، اور ڈیٹا سورس تک رسائی حاصل کرنے والے ہر فنکشن کے لیے آبجیکٹ لیول کی اجازت کی جانچ کرکے اشیاء تک غیر محفوظ رسائی کو روکتے ہیں۔ ڈویلپرز کو اس طرح کی جانچ پڑتال کرنا چاہیے، خاص طور پر اگر صارف کے ان پٹ پر مبنی ہو، اس امکان کو دور کرنے کے لیے کہ نادانستہ غلطیاں سیکیورٹی کو نقصان پہنچا سکتی ہیں۔ ایپلیکیشن سیکیورٹی اور آپریشنز کے پیشہ ور افراد کو بیک اینڈ ڈیٹا کی ہر درخواست کے لیے اجازت کی جانچ کی ضرورت ہوتی ہے۔
اوپن ٹیکسٹ کس طرح مدد کرسکتا ہے؟
OpenTextTM Static Application Security Testing (SAST) اور OpenTextTM Dynamic Application Security Testing (DAST) Insecure Direct Object Reference (IDOR) زمرے میں کمزوریوں کی ایک وسیع رینج کا پتہ لگا سکتے ہیں۔ IDOR میں کمزوریاں شامل ہو سکتی ہیں جیسے ڈائریکٹری ٹراورسل، File اپ لوڈ، اور File شمولیت عام طور پر، IDOR میں کمزوریوں کی کلاسیں بھی شامل ہوتی ہیں جہاں شناخت کنندہ
10 ماسٹرز، جنوری ٹور ڈی پیلوٹن: بے نقاب صارف ڈیٹا۔ قلم ٹیسٹ پارٹنرز بلاگ۔ قلم ٹیسٹ پارٹنرز۔ Web صفحہ 5 مئی 2021۔

API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ

7/23

ڈویلپرز اور ایپلیکیشن سیکیورٹی ٹیموں کو بھی تصدیق کے ذریعے صارف کی شناخت کی جانچ کرنے کی صلاحیتوں کو صحیح طریقے سے نافذ کرنا چاہیے۔

کے ذریعے ترمیم کی جا سکتی ہے۔ URL، باڈی، یا ہیڈر کی ہیرا پھیری۔ یہ سسٹم ڈویلپرز کو ان معاملات سے آگاہ کرے گا جہاں صارف ڈیٹا بیس یا اسٹوریج کنٹینر کے لیے API کی درخواست میں براہ راست بنیادی کلید کا انتخاب کر سکتا ہے، یہ ایک مسئلہ جو اکثر اس طبقے کی کمزوریوں کا باعث بنتا ہے۔ سسٹم اس وقت بھی متنبہ کرے گا جب ایک متوقع اجازت کی جانچ غائب ہے۔
API2:2023 – ٹوٹی ہوئی تصدیق
یہ کیا ہے؟
اجازت کی جانچ مخصوص کرداروں یا صارفین کی بنیاد پر ڈیٹا تک رسائی کو محدود کرتی ہے، لیکن یہ حدود سسٹم، ڈیٹا اور خدمات کی حفاظت کے لیے کافی نہیں ہیں۔ ڈویلپرز اور ایپلیکیشن سیکیورٹی ٹیموں کو بھی تصدیق کے ذریعے صارف کی شناخت کی جانچ کرنے کی صلاحیتوں کو صحیح طریقے سے نافذ کرنا چاہیے۔ تصدیق کی نازک نوعیت کے باوجود، اجزاء اکثر ناقص طریقے سے لاگو ہوتے ہیں یا غلط طریقے سے استعمال ہوتے ہیں - ٹوٹے ہوئے صارف کی تصدیق کی بنیادی وجوہات۔ ٹوٹے ہوئے صارف کی توثیق حملہ آوروں کو غیر محفوظ تصدیقی ٹوکن کا استحصال کرکے یا عمل درآمد کی خامیوں پر سمجھوتہ کرکے عارضی یا مستقل طور پر دوسرے صارف کی شناخت سنبھالنے کی صلاحیت فراہم کرتی ہے۔
کیا چیز کسی درخواست کو کمزور بناتی ہے؟
یہ عام اور آسانی سے فائدہ اٹھانے والا مسئلہ اس لیے پیش آتا ہے کیونکہ توثیق ایک پیچیدہ عمل ہے جو مبہم ہوسکتا ہے اور تعریف کے لحاظ سے، عوام کے سامنے ہے۔ ڈویلپر کی غلطیوں اور ایپلیکیشن کی غلط کنفیگریشن کے نتیجے میں ضروری چیکس کی کمی ہو سکتی ہے جس سے حملہ آور تصدیق سے بچ سکتے ہیں۔ ڈویلپرز جو کسی خاص اینڈ پوائنٹ کے لیے تصدیق کو نافذ کرنے میں ناکام رہتے ہیں یا کمزور تصدیقی طریقہ کار کی اجازت دیتے ہیں وہ ایپلیکیشنز کو مختلف قسم کے حملوں کا سامنا کرتے ہیں، جیسے کریڈینشل اسٹفنگ، ٹوکن ری پلے، یا پاس ورڈ سنفنگ۔
حملہ سابقamples
فروری اور جون 2023 کے درمیان، کریڈینشل اسٹفنگ حملوں نے لباس کے خوردہ فروش ہاٹ ٹاپک کو نشانہ بنایا، جس نے اپنے صارفین کو مطلع کیا کہ اکاؤنٹس کی ایک نامعلوم تعداد سے سمجھوتہ کیا گیا ہے۔ حملہ آور نامعلوم ذرائع سے حاصل کی گئی اسناد کا استعمال کرتے ہوئے حساس ذاتی ڈیٹا تک رسائی حاصل کرنے کے قابل تھے، جیسے کہ صارفین کے نام، ای میل ایڈریس، آرڈر کی تاریخ، فون نمبر، اور مہینوں اور دنوں کی پیدائش۔
فروری 2022 میں، ایک غلط کنفیگر شدہ کلاؤڈ اسٹوریج بالٹی نے ای میل مارکیٹنگ سروس Beetle Eye سے پاس ورڈ کے تحفظ یا خفیہ کاری کے بغیر 1 GB کا حساس ڈیٹا چھوڑ دیا۔ ڈیٹا میں مختلف سیاحتی ایجنسیوں اور امریکی ریاستوں کے ذریعے جمع کی گئی رابطے کی معلومات اور سیاحت سے متعلق معلومات شامل ہیں۔
بطور ڈویلپر اسے کیسے روکا جائے؟
11 تولس، بل۔ ریٹیل چین ہاٹ ٹاپک نے اسناد سے بھرے حملوں کی لہر کا انکشاف کیا۔ بلیپنگ کمپیوٹر۔ خبر کا مضمون۔ 1 اگست 2023۔
12 نائر، پرجیت۔ امریکی مارکیٹنگ پلیٹ فارم کے ذریعے 7 ملین لوگوں کا ڈیٹا سامنے آیا۔ آج ڈیٹا کی خلاف ورزی۔ آئی ایس ایم جی نیٹ ورک۔ 11 فروری 2022۔

API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ

8/23

توثیق کے لیے معیاری کاری آپ کا دوست ہے۔ DevSecOps ٹیموں کو ایپلی کیشنز کے لیے ایک یا ایک محدود تعداد میں تصدیق کے طریقے بنانا چاہیے اور اس بات کو یقینی بنانا چاہیے کہ ڈویلپرز تمام مائیکرو سروسز اور APIs میں میکانزم کو یکساں طور پر نافذ کریں۔

توثیق کے لیے معیاری کاری آپ کا دوست ہے۔ DevSecOps ٹیموں کو ایپلی کیشنز کے لیے ایک – یا ایک محدود تعداد میں تصدیق کے طریقے بنانا چاہیے اور اس بات کو یقینی بنانا چاہیے کہ ڈویلپرز تمام مائیکرو سروسز اور APIs میں میکانزم کو یکساں طور پر نافذ کریں۔ کسی بھی تصدیق کے نفاذ کو دوبارہ ہونا چاہئے۔viewed OWASP Application Security Verification Standard (ASVS) کے سیاق و سباق کے اندر، فی الحال 4,13 ورژن پر عمل درآمد اور متعلقہ سیکیورٹی کنٹرولز کی درستگی کو یقینی بنانے کے لیے۔ معیار سے کوئی بھی انحراف - خاص طور پر غیر تصدیق شدہ اختتامی نقطوں کی کسی بھی جان بوجھ کر نمائش کا سیکورٹی ٹیم کے ذریعہ جائزہ لیا جانا چاہئے اور صرف ایک مضبوط کاروباری ضرورت کو پورا کرنے کی اجازت دی جانی چاہئے۔
اوپن ٹیکسٹ کس طرح مدد کرسکتا ہے؟
OAuth اور JWT توثیق کی دو سب سے عام قسمیں ہیں جو APIs کو لاگو کرنے کے لیے استعمال ہوتی ہیں، اور OpenText ڈائنامک ایپلیکیشن سیکیورٹی ٹیسٹنگ میں ایپلی کیشنز میں دونوں معیارات کے کمزور نفاذ کے ساتھ ساتھ غلط کنفیگریشنز اور کمزور پیٹرن جیسے CSRF اور سیشن فکسیشن کی جانچ پڑتال ہوتی ہے، جو کہ کسٹم تصدیق کے نفاذ میں سامنے آتے ہیں۔ ڈائنامک ایپلیکیشن سیکیورٹی ٹول (DAST) OpenText کے ذریعے اسکین کرنا توثیق کی کمزوریوں کا پتہ لگانے کا ایک بہترین طریقہ ہے، خاص طور پر API میں۔
اوپن ٹیکسٹ سٹیٹک ایپلیکیشن سیکیورٹی ٹیسٹنگ ناقص تصدیق سے متعلق وسیع پیمانے پر جانچ کی بھی اجازت دیتی ہے۔ جامد تجزیہ کے آلے میں عام مسائل کا پتہ لگانا شامل ہے- جیسے کہ اسناد کے رساو کے ساتھ ساتھ انتہائی API سے متعلق مسائل جیسے JWT ٹوکنز میں تحفظ کے دعوے غائب ہونا، یا JWT ہیڈر میں ہونے والے دعوے۔
API3:2023- ٹوٹی ہوئی آبجیکٹ پراپرٹی لیول کی اجازت
یہ کیا ہے؟
بروکن آبجیکٹ پراپرٹی لیول اتھارٹی 2023 OWASP کی فہرست میں ایک نیا زمرہ ہے جو پچھلی فہرست سے دو زمروں کو ملاتا ہے: Excessive Data Exposure (API3:2019) اور ماس اسائنمنٹ (API6:2019)۔ مسئلہ آبجیکٹ پراپرٹی کی سطح پر صارف کی اجازت کی توثیق کی کمی یا صارف کی غلط اجازت کی وجہ سے ہوتا ہے۔ API کے اختتامی نکات کو اس بات کی توثیق کرنی چاہئے کہ ہر صارف کے پاس ہر اس پراپرٹی کی اجازت ہے جس تک وہ رسائی یا تبدیلی کی کوشش کر رہا ہے۔ اس مسئلے کا فائدہ اٹھانا غیر مجاز فریقوں کے ذریعہ معلومات کی نمائش یا ڈیٹا میں ہیرا پھیری کا باعث بن سکتا ہے۔
کیا چیز کسی درخواست کو کمزور بناتی ہے؟
عام اور آسانی سے فائدہ اٹھانے والا مسئلہ اس وقت پیش آتا ہے جب صارف کو کسی مخصوص چیز کی کچھ خصوصیات تک رسائی حاصل کرنے کا اختیار دیا جا سکتا ہے، جیسے کہ ٹریول ایپلی کیشن میں ایک کمرہ محفوظ کرنا، لیکن دوسرے کو نہیں، جیسے کہ کمرے کی قیمت۔ جب صارف API کے ذریعے کسی آبجیکٹ کی خصوصیات تک رسائی حاصل کرتا ہے، تو ایپلیکیشن کو چیک کرنا چاہیے کہ صارف:
· آبجیکٹ کی مخصوص پراپرٹی تک رسائی حاصل کرنے کے قابل ہونا چاہئے۔
13 OWASP ایپلیکیشن سیکیورٹی کی تصدیق کا معیار۔ OWASP GitHub صفحہ۔ آخری بار رسائی کی: 17 نومبر 2023۔

API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ

9/23

بروکن آبجیکٹ پراپرٹی لیول اتھارٹی 2023 OWASP کی فہرست میں ایک نیا زمرہ ہے جو پچھلی فہرست سے دو زمروں کو ملاتا ہے: Excessive Data Exposure (API3:2019) اور ماس اسائنمنٹ (API6:2019)۔
OpenTextTM Static Application Security Testing ڈیٹا کے بہاؤ کے تجزیہ کے ذریعے ضرورت سے زیادہ ڈیٹا کی نمائش اور بڑے پیمانے پر تفویض دونوں کو روکنے میں مدد کرتا ہے۔ یہ نظام نجی ڈیٹا کے بہت سے ذرائع کو اجاگر کرے گا، جیسے کہ متغیر کے ناموں یا مخصوص API کالوں پر مبنی، اور ایسی اشیاء کی نشاندہی کرے گا جو بڑے پیمانے پر تفویض کی اجازت دیتے ہیں۔

(خلاف ورزیوں کو پہلے بہت زیادہ ڈیٹا ایکسپوژر کے نام سے جانا جاتا تھا)، اور/یا
· آبجیکٹ کی مخصوص خاصیت کو تبدیل کرنے کی اجازت ہے (کچھ ایپلی کیشنز اس کی جانچ کرنے میں ناکام رہتی ہیں کیونکہ وہ خود بخود نقشہ بنانے کے لیے ایک فریم ورک استعمال کرتی ہیں web آبجیکٹ فیلڈز میں پیرامیٹرز کی درخواست کریں، ایک مسئلہ جسے ماس اسائنمنٹ کہا جاتا ہے)۔
ایک OWASP سابق میںample، ایک آن لائن ویڈیو پلیٹ فارم صارف کو کسی ویڈیو، حتیٰ کہ ایک مسدود ویڈیو کی تفصیل کو تبدیل کرنے کی اجازت دیتا ہے، لیکن صارف کو 'بلاک شدہ' پراپرٹی میں ترمیم کرنے کی اجازت نہیں دینی چاہیے۔
/api/video/update _ ویڈیو ڈالیں۔
{
"تفصیل": "بلیوں کے بارے میں ایک مضحکہ خیز ویڈیو"،
"مسدود": غلط
}
حملہ سابقamples
جنوری 2022 میں، ایک بگ باؤنٹی پروگرام نے ٹویٹر میں ایک خامی دریافت کی جس نے صارف کو ٹویٹر کے سسٹم میں ای میل ایڈریس یا فون نمبر جمع کروانے کی اجازت دی، جو اس کے بعد اکاؤنٹ کا نام واپس کر دے گا جس سے معلومات کا تعلق تھا۔ کسی کو بھی دو پراپرٹیز کو لنک کرنے کی اجازت دے کر، ٹویٹر نے نادانستہ طور پر تخلصی صارفین کو زیادہ خاص طور پر شناخت کرنے کی اجازت دی۔
بطور ڈویلپر اسے کیسے روکا جائے؟
ڈویلپرز کو ہمیشہ مخصوص آبجیکٹ کی خصوصیات تک رسائی یا تبدیل کرنے کی صلاحیت پر مناسب کنٹرول نافذ کرنا چاہیے۔ ہر خاصیت کے ساتھ ایک عمومی ڈیٹا ڈھانچہ واپس کرنے کے بجائے – جو اکثر عام طریقوں سے ہوتا ہے، جیسے to_json() اور to_string()–پروگرامرز کو اس بارے میں بہت خاص ہونا چاہیے کہ وہ کون سی معلومات واپس کرتے ہیں۔ سیکیورٹی کے ایک اضافی اقدام کے طور پر، ایپلی کیشنز کو اسکیما پر مبنی جوابی توثیق کو نافذ کرنا چاہیے جو API طریقوں سے واپس کیے گئے تمام ڈیٹا پر سیکیورٹی کنٹرولز کو نافذ کرتا ہے۔ رسائی کو کم سے کم استحقاق کے اصولوں پر عمل کرنا چاہیے، صرف اس صورت میں رسائی کی اجازت دی جائے جب بالکل ضروری ہو۔
اوپن ٹیکسٹ کس طرح مدد کرسکتا ہے؟
OpenTextTM Static Application Security Testing ڈیٹا کے بہاؤ کے تجزیہ کے ذریعے ضرورت سے زیادہ ڈیٹا کی نمائش اور بڑے پیمانے پر تفویض دونوں کو روکنے میں مدد کرتا ہے۔ یہ نظام نجی ڈیٹا کے بہت سے ذرائع کو اجاگر کرے گا، جیسے کہ متغیر کے ناموں یا مخصوص API کالوں پر مبنی، اور ایسی اشیاء کی نشاندہی کرے گا جو بڑے پیمانے پر تفویض کی اجازت دیتے ہیں۔ صارف اپنے ذرائع کی بھی وضاحت کر سکتے ہیں، پروگرام کے ذریعے ڈیٹا کو ٹریک کر سکتے ہیں، اور اگر یہ کسی نامناسب جگہ پر ختم ہو جاتا ہے تو ڈویلپر یا آپریٹر کو خطرے سے آگاہ کر سکتے ہیں۔

14 ٹویٹر پر کچھ اکاؤنٹس اور نجی معلومات کو متاثر کرنے والا واقعہ۔ ٹویٹر پرائیویسی سینٹر۔ ٹویٹر Web صفحہ 5 اگست 2022۔

API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ

10/23

وہ درخواستیں جو کسی درخواست کو پورا کرنے کے لیے تفویض کردہ وسائل کو محدود نہیں کرتی ہیں، کمزور ہوسکتی ہیں، بشمول وہ جو کہ مختص میموری کو محدود کرنے میں ناکام رہتی ہیں، ان کی تعداد files یا رسائی شدہ عمل، یا درخواستوں کی اجازت شدہ شرح، دیگر صفات کے درمیان۔

اس کے علاوہ، OpenText SAST کے پاس سب سے اہم JSON اور XML سیریلائزیشن اور ڈی سیریلائزیشن میکانزم کا علم ہے۔ اس کا استعمال کرتے ہوئے، ٹول کوڈ کا پتہ لگا سکتا ہے جو ڈومین ٹرانسفر آبجیکٹ (DTOs) کو صحیح طریقے سے ڈی سیریل نہیں کرتا ہے، جو اس کے اوصاف کی بڑے پیمانے پر تفویض کی اجازت دے سکتا ہے۔ OpenText Dynamic Application Security Testing کے ذریعے معلومات کی نمائش اور بڑے پیمانے پر تفویض کے کچھ معاملات کا بھی پتہ لگایا جا سکتا ہے۔ آخر میں، کچھ انسدادی اقدامات کو قواعد میں شامل کرکے لاگو کیا جا سکتا ہے۔ web ایپلی کیشن فائر وال (WAF)۔
API4:2023–غیر محدود وسائل کی کھپت
یہ کیا ہے؟
APIs بہت سے مفید کاروباری افعال کو ظاہر کرتے ہیں۔ ایسا کرنے کے لیے، وہ کمپیوٹنگ کے وسائل جیسے ڈیٹا بیس سرورز کا استعمال کرتے ہیں یا آپریشنل ٹیکنالوجی کے ذریعے کسی جسمانی جزو تک رسائی حاصل کر سکتے ہیں۔ چونکہ سسٹمز کے پاس API کالز کا جواب دینے کے لیے وسائل کا ایک محدود مجموعہ ہوتا ہے، حملہ آور خاص طور پر ایسے منظرنامے بنانے کے لیے درخواستیں تیار کر سکتے ہیں جس کے نتیجے میں وسائل کی تھکن، سروس سے انکار، یا کاروباری اخراجات میں اضافہ ہو۔ بہت سے معاملات میں، حملہ آور API کی درخواستیں بھیج سکتے ہیں جو اہم وسائل کو جوڑتے ہیں، مشین یا بینڈوڈتھ کے وسائل کو مغلوب کرتے ہیں اور اس کے نتیجے میں سروس سے انکار کا حملہ ہوتا ہے۔ مختلف IP پتوں یا کلاؤڈ مثالوں سے بار بار درخواستیں بھیج کر، حملہ آور استعمال میں مشکوک اسپائکس کا پتہ لگانے کے لیے بنائے گئے دفاع کو نظرانداز کر سکتے ہیں۔
کیا چیز کسی درخواست کو کمزور بناتی ہے؟
API کی درخواستیں جوابات کو متحرک کرتی ہیں۔ چاہے ان جوابات میں ڈیٹا بیس تک رسائی، I/O پرفارم کرنا، کیلکولیشن چلانا، یا (زیادہ سے زیادہ) مشین لرننگ ماڈل سے آؤٹ پٹ پیدا کرنا شامل ہے، APIs کمپیوٹنگ، نیٹ ورک اور میموری کے وسائل کا استعمال کرتے ہیں۔ ایک حملہ آور ڈینیئل-آف-سروس (DoS) حملے کے حصے کے طور پر ایک اینڈ پوائنٹ پر API کی درخواستیں بھیج سکتا ہے جو کہ بینڈوڈتھ کو مغلوب کرنے کے بجائے – ایک حجمی DoS حملے کا مقصد – بجائے CPU، میموری، اور کلاؤڈ وسائل کو ختم کرتا ہے۔ وہ درخواستیں جو کسی درخواست کو پورا کرنے کے لیے تفویض کردہ وسائل کو محدود نہیں کرتی ہیں، کمزور ہوسکتی ہیں، بشمول وہ جو کہ مختص میموری کو محدود کرنے میں ناکام رہتی ہیں، ان کی تعداد files یا رسائی شدہ عمل، یا درخواستوں کی اجازت شدہ شرح، دیگر صفات کے درمیان۔
سرور پروسیسنگ APIs کو میموری اور کام کے بوجھ کی ضرورت سے زیادہ مختص کرنے، API سے چلنے والے آپریشنز کے لیے ضرورت سے زیادہ درخواستوں، یا حد سے زیادہ خرچ کیے بغیر فریق ثالث کی خدمت کے لیے ضرورت سے زیادہ چارجز کو روکنے کے لیے حدود کا ہونا ضروری ہے۔
ایک عام حملہ API کے اختتامی نقطہ پر بھیجے گئے دلائل میں ترمیم کرنا ہے، جیسے کہ جواب کا سائز بڑھانا اور ڈیٹا بیس کے لاکھوں اندراجات کی درخواست کرنا، بجائے کہ کہ، پہلے دس:
/api/users?page=1&size=1000000
اس کے علاوہ، اگر حملہ آور بیک اینڈ سروس تک رسائی حاصل کر سکتا ہے جو استعمال کے لیے چارج کرتی ہے، تو وسائل کی کھپت کے حملوں کو درخواست کے مالک کے لیے چارجز کو چلانے کے لیے استعمال کیا جا سکتا ہے۔ ایک اور OWASP سابقample ایک ری سیٹ پاس ورڈ کی خصوصیت کی طرف اشارہ کرتا ہے جو شناخت کی تصدیق کے لیے SMS ٹیکسٹ میسج کا استعمال کرتا ہے اور جسے متاثرین کے اخراجات بڑھانے کے لیے ہزاروں بار کال کیا جا سکتا ہے۔

API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ

11/23

مواد کی ترسیل کے نیٹ ورکس (CDNs) کے ساتھ جوڑا استعمال کرتے ہوئے نیٹ ورک کے کنارے پر فلٹرنگ web ایپلیکیشن فائر والز (WAFs) ٹریفک کے سیلاب کو کم کر سکتے ہیں جبکہ انفرادی صارفین پر اثر کو کم کر سکتے ہیں۔

پوسٹ / ایس ایم ایس/ بھیجیں _ ری سیٹ _ پاس _ کوڈ
میزبان: willyo.net {
"فون _ نمبر": "6501113434" }
حملہ سابقamples
چونکہ وسائل کی کھپت کے حملوں کو اکثر کارکردگی اور دستیابی کے مسائل میں شامل کیا جاتا ہے، اس لیے ٹارگٹڈ کمپنیاں انھیں کاروبار کرنے کی لاگت کے حصے کے طور پر پیش کرتی ہیں، بجائے اس کے کہ ان واقعات کی اطلاع دی جانی چاہیے، خطرے میں مرئیت کو کم کر کے۔ 2022 میں، ایپلی کیشن لیئر ڈسٹری بیوٹڈ-ڈینیل آف سروس (DDoS) حملے، API وسائل کی کھپت کے حملوں کا ایک سپر سیٹ، تمام حملوں کے حصہ کے طور پر کم ہوئے، لیکن Q4 2022 میں اب بھی پچھلے سال کی اسی سہ ماہی کے مقابلے میں 79% زیادہ حملے ہوئے۔
2015 میں بیان کردہ ایک حملے میں، ایک ڈویلپر نے ایک اینڈرائیڈ کلائنٹ کا پتہ لگایا جس نے اپنی سائٹ سے بار بار رابطہ کیا Web تصادفی طور پر تیار کردہ API کیز کے ساتھ API، جس کے نتیجے میں سروس سے انکار کا حملہ ہوتا ہے۔ ڈویلپر نے قیاس کیا کہ اینڈرائیڈ ڈیوائسز پر نصب ایک بدنیتی پر مبنی ایپلیکیشن 64 بٹ API کلید کا اندازہ لگانے کی کوشش کر رہی ہے۔
بطور ڈویلپر اسے کیسے روکا جائے؟
شرح کی حد اور حد کا استعمال کرتے ہوئے، زیادہ تر وسائل کی کھپت کے حملوں کو ختم کیا جا سکتا ہے، حالانکہ جائز ٹریفک بھی ناقص تعمیر شدہ دفاع سے متاثر ہو سکتی ہے۔ مخصوص حدود کو مقرر کیا جانا چاہئے:
· میموری مختص کرنا
· عمل
· بادل کی مثالیں۔
· اپ لوڈ کیا گیا۔ file وضاحت کنندگان اور file سائز
· ریکارڈ واپس آئے
· فریق ثالث کی خدمات کے لیے ادا شدہ لین دین کی تعداد
تمام آنے والے پیرامیٹرز (مثال کے طور پر، تار کی لمبائی، صف کی لمبائی، وغیرہ)
ایک مخصوص ٹائم ونڈو کے اندر فی کلائنٹ API تعاملات کی تعداد
مواد کی ترسیل کے نیٹ ورکس (CDNs) کے ساتھ جوڑا استعمال کرتے ہوئے نیٹ ورک کے کنارے پر فلٹرنگ web ایپلیکیشن فائر والز (WAFs) ٹریفک کے سیلاب کو کم کر سکتے ہیں جبکہ انفرادی صارفین پر اثر کو کم کر سکتے ہیں۔ ایپلیکیشن ڈیلیوری پلیٹ فارم آسانی سے فلٹرنگ کی اجازت دیتے ہیں، بشمول میموری، سی پی یوز اور عمل کی حدود۔
15 یواچیمک، عمر۔ 2022 Q4 کے لیے Cloudflare DDoS خطرے کی رپورٹ۔ Cloudflare بلاگ۔ Web صفحہ 10 جنوری 2023۔
16 ہیک/DOS حملے کو کیسے روکا جائے۔ web API اسٹیک اوور فلو۔ Web صفحہ 15 ستمبر 2015

API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ

12/23

اوپن ٹیکسٹ ڈائنامک ایپلیکیشن سیکیورٹی ٹیسٹنگ سروس کو متاثر کیے بغیر سروس کے حملے سے انکار کے خطرے کے لیے سرورز اور API افعال کی جانچ کر سکتی ہے۔ اس کے علاوہ، DAST اسکین چلانے کا عمل ایک ایسے ماحول کی جانچ پر زور دے سکتا ہے جو وسائل کے استعمال کی ممکنہ کمزوریوں کو ظاہر کر سکے۔

اوپن ٹیکسٹ کس طرح مدد کرسکتا ہے؟
OpenText SAST اور OpenText Dynamic Application Security Testing کے ساتھ، DevSecOps ٹیمیں اپنے کوڈ اور انفراسٹرکچر کو وسائل کی تھکن کے حملوں میں لچک کے لیے جانچ سکتی ہیں۔ OpenText SAST بہت سے علاقوں کو دیکھ سکتا ہے جہاں ایک حملہ آور انتہائی وسائل کی کھپت پیدا کرنے کے لیے ایپلیکیشن کی منطق کا غلط استعمال کر سکتا ہے۔
درخواست میں اس مسئلے کو حل کرنے کے لیے کوڈ کی سطح کی سیکیورٹی کافی نہیں ہے۔ وسائل کی تھکن اور شرح کو محدود کرنا سروس کے حملوں سے انکار کے مخصوص ذیلی حصے ہیں جنہیں رن ٹائم پر کم کیا جانا چاہیے۔ اوپن ٹیکسٹ ڈائنامک ایپلیکیشن سیکیورٹی ٹیسٹنگ سروس کو متاثر کیے بغیر سروس سے انکار کے خطرے کے لیے سرورز اور API افعال کی جانچ کر سکتی ہے۔ اس کے علاوہ، DAST اسکین چلانے کا عمل ایک ایسے ماحول کی جانچ پر زور دے سکتا ہے جو وسائل کے استعمال کی ممکنہ کمزوریوں کو ظاہر کر سکے۔
API5:2023- ٹوٹے ہوئے فنکشن لیول کی اجازت
یہ کیا ہے؟
جدید ایپلی کیشن میں بہت سے مختلف فنکشنز ہیں جو ڈیٹا تک رسائی، تخلیق، ہیرا پھیری، حذف، اور انتظام کرتے ہیں۔ ہر ایپلیکیشن صارف کو ہر فنکشن یا تمام ڈیٹا تک رسائی کی ضرورت نہیں ہے اور نہ ہی کم از کم استحقاق کے اصول کے تحت اس کی اجازت ہونی چاہیے۔ ہر API اینڈ پوائنٹ کا ایک مطلوبہ سامعین ہوتا ہے جس میں گمنام، باقاعدہ غیر مراعات یافتہ، اور مراعات یافتہ صارفین شامل ہو سکتے ہیں۔ انتظامی اور انتظامی افعال کو مراعات یافتہ اجازت کی ضرورت ہوتی ہے، لیکن بعض اوقات غیر مجاز صارف کی جانب سے جائز API کالز کے ذریعے قابل رسائی ہوتی ہے – یہ ٹوٹے ہوئے فنکشن لیول کی اجازت کی اصل ہے۔ مختلف درجہ بندیوں، گروہوں اور کرداروں کی وجہ سے رسائی کے کنٹرول میں پیچیدگی پیدا ہوتی ہے، ہو سکتا ہے ایپلیکیشنز کے فنکشنز پر مناسب پابندیاں نہ ہوں کہ کون انہیں کال کر سکتا ہے۔
کیا چیز کسی درخواست کو کمزور بناتی ہے؟
وہ ایپلیکیشنز جو مخصوص فنکشنز کو انتظامی کام انجام دینے کی اجازت دیتی ہیں وہ محفوظ طریقے سے ان فنکشنز تک رسائی کو محدود نہیں کرسکتی ہیں۔ APIs جو براہ راست اس طرح کے افعال کا نقشہ بناتے ہیں ان کمزوریوں کو استحصال کے لیے بے نقاب کریں گے۔ وہ فنکشنز جو ایپلیکیشن کی تصدیق اور اجازت کے طریقہ کار کو استعمال نہیں کرتے ہیں ان کو ممکنہ حفاظتی کمزوریوں پر غور کیا جانا چاہیے۔
ایک سابق میںampOWASP کے ذریعے حوالہ دیا گیا، ایک حملہ آور ایک مدعو صارف کو ایک نئی موبائل ایپلیکیشن میں شامل کرنے کے لیے API کی درخواستوں تک رسائی حاصل کرتا ہے، یہ نوٹ کرتے ہوئے کہ دعوت نامے میں مدعو کرنے والے کے کردار کے بارے میں معلومات شامل ہیں۔ کمزوری کا فائدہ اٹھاتے ہوئے، حملہ آور ایک نیا دعوت نامہ بھیجتا ہے:
POST/api/invites/new
{
"ای میل": "attacker@somehost.com"،
"کردار": "ایڈمن"
} یہ انہیں سسٹم پر انتظامی مراعات حاصل کرنے کی اجازت دیتا ہے۔

API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ

13/23

DevSecOps ٹیموں کو اجازت اور توثیق کے لیے ایک معیاری طریقہ وضع کرنا چاہیے جو "سب سے انکار" کے ڈیفالٹ کو نافذ کرتے ہوئے، بذریعہ ڈیفالٹ درخواستوں تک رسائی کو روکتا ہے۔
ایپلیکیشن کنٹرول اور منطق کے بہاؤ کسی بھی آن لائن کاروبار کا مرکز ہیں، اور جیسے ہی کمپنیاں اپنے زیادہ سے زیادہ آپریشنز کو کلاؤڈ پر منتقل کرتی ہیں، ان بہاؤ کو بے نقاب اور استحصال کیا جا سکتا ہے۔ یہ ضرورت سے زیادہ رسائی کاروبار کو نقصان پہنچا سکتی ہے۔

حملہ سابقamples
2022 میں، ٹیکساس ڈیپارٹمنٹ آف انشورنس نے عوام کو مطلع کیا کہ تقریباً 20 لاکھ ٹیکساس کی معلومات کارکنوں کے معاوضے کی درخواست کے ایک حصے کے ذریعے سامنے آئی ہیں جس نے نادانستہ طور پر عوام کے اراکین کو محفوظ ڈیٹا تک رسائی کی اجازت دی تھی۔ کسی بھی تصدیق یا اجازت کی ضرورت ہے۔ جبکہ اوپٹس نے اس حملے کو "نفیس" قرار دیا، لیکن حملے کی تفصیلات سے واقف ایک سیکورٹی محقق نے اسے "معمولی" قرار دیا۔
بطور ڈویلپر اسے کیسے روکا جائے؟
DevSecOps ٹیموں کو توثیق اور اجازت کے لیے ایک معیاری نقطہ نظر وضع کرنا چاہیے جو "سب سے انکار" کے ڈیفالٹ کو نافذ کرتے ہوئے، بذریعہ ڈیفالٹ درخواستوں تک رسائی کو روکتا ہے۔ اس ڈیفالٹ سے، ہمیشہ کم از کم استحقاق کے اصول کو لاگو کریں جب رولز/گروپز/صارفین تک رسائی کا تعین کریں۔ ڈویلپرز کو یہ یقینی بنانا چاہیے کہ ہر API اینڈ پوائنٹ سے متعلق تمام متعلقہ HTTP فعل/طریقوں (مثلاً، POST, GET, PUT, PATCH, DELETE) کے لیے تصدیق اور اجازت موجود ہے۔ غیر متعلقہ فعل کی اجازت نہیں ہونی چاہیے۔ اس کے علاوہ، ڈویلپرز کو انتظامی رسائی اور نظم و نسق کے لیے ایک بیس کلاس لاگو کرنا چاہیے، کلاس وراثت کا استعمال کرتے ہوئے اس بات کو یقینی بنانے کے لیے کہ اجازت دینے والے کنٹرول رسائی دینے سے پہلے صارف کے کردار کی جانچ کریں۔ تمام اہم انتظامی کاموں کو استحقاق میں اضافے کو روکنے کے لیے اجازت کے طریقہ کار کا استعمال کرنا چاہیے۔
اوپن ٹیکسٹ کس طرح مدد کرسکتا ہے؟
OpenText Dynamic Application Security Testing (DAST) سویٹ کے رن ٹائم چیک کے ساتھ OpenTextTM Static Application Security Testing کے جامد کوڈ اور API تجزیہ کی خصوصیات کو یکجا کر کے، DevSecOps ٹیمیں ٹوٹے ہوئے فنکشن لیول کی اجازت کے مسائل کے لیے اپنی درخواست کا جائزہ لے سکتی ہیں اور تعیناتی سے پہلے سیکیورٹی کی کمزوریوں کے لیے مسلسل پروڈکشن کوڈ کی جانچ کر سکتی ہیں۔ ٹوٹے ہوئے آبجیکٹ فنکشن کی اجازت کے مسائل کا پتہ لگانے کے لیے، OpenTextTM Static Application Security Testing اس بات کی وضاحت کرنے والے اصولوں کا استعمال کرتا ہے کہ جب کچھ پروگرامنگ زبانوں اور فریم ورک میں اجازت کی جانچ کی توقع کی جائے گی، اور اس طرح کے چیک کی عدم موجودگی کی اطلاع دی جاتی ہے۔
API6:2023– حساس کاروباری بہاؤ تک غیر محدود رسائی
یہ کیا ہے؟
اسنیکر بوٹس سے لے کر ٹکٹ بوٹس تک، ان کے APIs کے ذریعے آن لائن خوردہ فروشوں کی انوینٹری پر حملے ای کامرس سائٹس کے لیے ایک اہم مسئلہ بن گیا ہے۔ کاروباری ماڈل اور ایپلیکیشن کی منطق کو سمجھ کر، حملہ آور API کالز کی ایک سیریز بنا سکتا ہے جو خود بخود ریزرو یا خرید سکتا ہے۔
17 بیفرمین، جیسن۔ آڈٹ کا کہنا ہے کہ محکمہ انشورنس کے دعووں کے ساتھ 1.8 ملین ٹیکساس کی ذاتی معلومات برسوں سے بے نقاب تھیں۔ دی ٹیکساس ٹریبیون۔ 17 مئی 2022۔
18 ٹیلر، جوش۔ Optus ڈیٹا کی خلاف ورزی: ​​جو کچھ ہوا اس کے بارے میں ہم اب تک جانتے ہیں۔ گارڈین۔ 28 ستمبر 2022۔

API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ

14/23

حساس کاروباری بہاؤ تک غیر محدود رسائی کو روکنا ایپلیکیشن سیکیورٹی کے لیے ایک جامع نقطہ نظر کے بارے میں زیادہ ہے اور کسی مخصوص ٹیکنالوجی کو تلاش کرنے کے بارے میں کم ہے۔

انوینٹری، اس طرح دوسرے، جائز صارفین کو کاروبار کی مصنوعات یا خدمات تک رسائی حاصل کرنے سے روکتی ہے۔ کوئی بھی API جو کاروباری عمل تک رسائی کی اجازت دیتا ہے اسے حملہ آور کاروبار کو متاثر کرنے کے لیے استعمال کر سکتا ہے اور یہ حساس کاروباری بہاؤ تک غیر محدود رسائی کی تعریف کے تحت آتا ہے۔
کیا چیز کسی درخواست کو کمزور بناتی ہے؟
ایپلیکیشن کنٹرول اور منطق کے بہاؤ کسی بھی آن لائن کاروبار کا مرکز ہیں، اور جیسے ہی کمپنیاں اپنے زیادہ سے زیادہ آپریشنز کو کلاؤڈ پر منتقل کرتی ہیں، ان بہاؤ کو بے نقاب اور استحصال کیا جا سکتا ہے۔ یہ حد سے زیادہ رسائی کاروبار کو نقصان پہنچا سکتی ہے، جب حملہ آور مصنوعات کی خریداری کو خودکار بناتے ہیں، تبصرے چھوڑنے کے لیے بوٹس بناتے ہیں اور دوبارہviews، یا سامان یا خدمات کی ریزرویشن کو خودکار بنائیں۔
اگر کوئی ایپلیکیشن اینڈ پوائنٹ کی پیشکش کرتی ہے جس میں اینڈ پوائنٹ کے پیچھے کاروباری آپریشنز تک رسائی کو محدود کیے بغیر کمپنی کے کاروباری بہاؤ تک رسائی حاصل ہے، تو ایپلیکیشن کمزور ہو جائے گی۔ تحفظات میں فنگر پرنٹنگ کے ذریعے کسی ایک ڈیوائس سے رسائی کی کوششوں کی تعداد کو محدود کرنا، اس بات کا پتہ لگانا کہ آیا یہ سرگرمی کسی انسانی اداکار سے شروع ہوتی ہے، اور یہ پتہ لگانا کہ آیا آٹومیشن شامل ہے۔
حملہ سابقamples
جب نومبر 2022 میں ٹکٹ ماسٹر پر ٹیلر سوئفٹ کے ٹکٹ فروخت ہوئے، 1.5 ملین صارفین نے پہلے سے اندراج کرایا تھا، لیکن 14 ملین سے زیادہ درخواستیں- بشمول بوٹ ٹریفک سے تین گنا زیادہ۔ampٹکٹوں کی فروخت کھلتے ہی خریداری کے لنکس اور APIs کو ایڈ کریں۔ سائٹ کریش ہو گئی، بہت سے صارفین کو ٹکٹ خریدنے سے روکا گیا۔19
ری سیلر بوٹس کا حملہ نومبر 2020 میں پلے اسٹیشن 5 کے آغاز کو برباد کرنے والے سے مشابہت رکھتا تھا۔ تازہ ترین سونی گیمنگ کنسول کے آغاز سے پہلے ہی سپلائی چین کے مسائل نے سپلائی محدود کر دی تھی، لیکن خودکار بوٹس نے دستیاب یونٹس کو تلاش کرنا مزید مشکل بنا دیا اور اس کی وجہ سے فلکیاتی ری سیل قیمتیں بڑھ گئیں۔ ایک ای کامرس سائٹ کے معاملے میں، "کارٹ میں شامل کریں" ٹرانزیکشنز کی تعداد اوسطاً 15,000 درخواستوں فی گھنٹہ سے بڑھ کر 27 ملین سے زیادہ ہو گئی، SKU نمبر کے ذریعے مصنوعات کی براہ راست درخواست کرنے کے لیے اسٹور کے API کا استعمال کرتے ہوئے
بطور ڈویلپر اسے کیسے روکا جائے؟
ڈویلپرز کو کاروبار کے بہاؤ تک ممکنہ نقصان دہ رسائی کے مسائل کو حل کرنے کے لیے بزنس آپریشن اور انجینئرنگ دونوں ٹیموں کے ساتھ کام کرنا چاہیے۔ کاروباری ٹیمیں شناخت کر سکتی ہیں کہ APIs کے ذریعے کون سے بہاؤ کو بے نقاب کیا گیا ہے اور یہ تعین کرنے کے لیے خطرے کے تجزیے کیے جا سکتے ہیں کہ حملہ آور ان اختتامی نکات کا کیسے غلط استعمال کر سکتے ہیں۔ دریں اثنا، ڈویلپرز کو انجینئرنگ آپریشنز کے ساتھ ایک DevOps ٹیم کے حصے کے طور پر کام کرنا چاہیے تاکہ اضافی تکنیکی دفاعی اقدامات قائم کیے جا سکیں، جیسے کہ ڈیوائس فنگر پرنٹنگ کا استعمال خود کار براؤزر کی مثالوں کو زیادہ ہونے سے روکنے کے لیے اور رویے میں ایسے نمونوں کی شناخت کرنا جو انسانی اور مشینی اداکاروں کے درمیان فرق کرتے ہیں۔
19 اسٹیل، بلی. ٹکٹ ماسٹر جانتا ہے کہ اس میں بوٹ کا مسئلہ ہے، لیکن وہ چاہتا ہے کہ کانگریس اسے ٹھیک کرے۔ Engadget. نیوز آرٹیکل. 24 جنوری 2023۔
20 میوانڈی، تفارا اور واربرٹن، ڈیوڈ۔ کیسے بوٹس نے لاکھوں گیمرز کے لیے پلے اسٹیشن 5 لانچ کو برباد کیا۔ F5 لیبز بلاگ۔ F5۔ Web صفحہ 18 مارچ 2023۔

API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ

15/23

سب سے زیادہ معروف سابقampایس ایس آر ایف کے حملے میں ایک سابق ایمیزون ملوث تھا۔ Web سروسز (AWS) انجینئر جس نے غلط کنفیگرڈ کا استحصال کیا۔ web ایپلیکیشن فائر وال (WAF) پھر SSRF کی خامی کا استعمال کرتے ہوئے مالیاتی کمپنی کیپٹل ون سے تعلق رکھنے والے سرور مثال سے ڈیٹا اکٹھا کرنے کے لیے۔

آپریشن ٹیموں کو بھی دوبارہ ہونا چاہئے۔view کوئی بھی APIs جو دوسری مشینوں کے ذریعے استعمال کرنے کے لیے ڈیزائن کیا گیا ہے، جیسے کہ B2B کے استعمال کے کیسز، اور اس بات کو یقینی بنائیں کہ حملہ آوروں کو مشین سے مشین کے تعاملات کا استحصال کرنے سے روکنے کے لیے کچھ حفاظتی تدابیر موجود ہوں۔
اوپن ٹیکسٹ کس طرح مدد کرسکتا ہے؟
کمزور اور حساس کاروباری بہاؤ کو پکڑنا اکثر بنیادی باتوں پر انحصار کرتا ہے۔ کمپنیوں کو اپنے تمام کام کرنے والے APIs کو دستاویز کرنے اور ٹریک کرنے کی ضرورت ہے اور یہ تعین کرنے کی ضرورت ہے کہ کون سے حساس عمل اور ڈیٹا کو ممکنہ حملہ آوروں کے سامنے لاتے ہیں۔ درخواست کی منطق کو منطقی خامیوں کے لیے بھی تجزیہ کرنے کی ضرورت ہے جن سے حملہ آور فائدہ اٹھا سکتے ہیں۔
مجموعی طور پر، حساس کاروباری بہاؤ تک غیر محدود رسائی کو روکنا ایپلیکیشن سیکیورٹی کے لیے ایک جامع نقطہ نظر کے بارے میں زیادہ ہے اور کسی مخصوص ٹیکنالوجی کو تلاش کرنے کے بارے میں کم ہے۔
API7:2023-سرور سائیڈ درخواست کی جعلسازی
یہ کیا ہے؟
بیک اینڈ سرور API اینڈ پوائنٹس کے ذریعے کی گئی درخواستوں کو ہینڈل کرتے ہیں۔ سرور سائیڈ ریکویسٹ فورجری (SSRF) ایک کمزوری ہے جو حملہ آور کو سرور کو اپنی طرف سے اور سرور کے مراعات کی سطح کے ساتھ درخواستیں بھیجنے پر آمادہ کرنے کی اجازت دیتی ہے۔ اکثر حملہ بیرونی حملہ آور اور اندرونی نیٹ ورک کے درمیان فرق کو ختم کرنے کے لیے سرور کا استعمال کرتا ہے۔ بنیادی SSRF حملوں کے نتیجے میں حملہ آور کو جواب دیا جاتا ہے، یہ بلائنڈ SSRF حملوں سے کہیں زیادہ آسان منظر ہے، جہاں کوئی جواب نہیں دیا جاتا، حملہ آور کو اس بات کی کوئی تصدیق نہیں ہوتی کہ آیا حملہ کامیاب تھا۔
کیا چیز کسی درخواست کو کمزور بناتی ہے؟
سرور سائیڈ ریکوسٹ فورجری (SSRF) کی خامیاں بنیادی طور پر صارف کے فراہم کردہ ان پٹ کی توثیق کی کمی کا نتیجہ ہیں۔ حملہ آور درخواستیں تیار کرنے اور ایک URI شامل کرنے کے قابل ہوتے ہیں جو ہدف شدہ ایپلیکیشن تک رسائی فراہم کرتا ہے۔
ایپلی کیشن ڈویلپمنٹ میں جدید تصورات، جیسے webOWASP کے مطابق، ہکس اور معیاری ایپلیکیشن فریم ورک، SSRF کو زیادہ عام اور زیادہ خطرناک بناتے ہیں۔
ایک سابق میںample کا حوالہ OWASP نے دیا، ایک سوشل نیٹ ورک جو صارفین کو پرو اپ لوڈ کرنے کی اجازت دیتا ہے۔file اگر سرور درخواست کو بھیجے گئے دلائل کی توثیق نہیں کرتا ہے تو تصاویر SSRF کے لیے خطرناک ہو سکتی ہیں۔ بجائے a URL تصویر کی طرف اشارہ کرنا، جیسے:
پوسٹ /api/profile/اپ لوڈ _ تصویر
{
"تصویر _ url": "http://example.com/profile _ pic.jpg"
}
ایک حملہ آور ایک URI بھیج سکتا ہے جو اس بات کا تعین کر سکتا ہے کہ آیا درج ذیل API کال کا استعمال کرتے ہوئے کوئی مخصوص پورٹ کھلا ہے:
{"تصویر _ url": "لوکل ہوسٹ: 8080"
}

API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ

16/23

سیکیورٹی کی غلط کنفیگریشن میں کمزور ڈیفالٹ کنفیگریشنز کے ساتھ ایپلیکیشنز کا سیٹ اپ کرنا، حساس فنکشنز اور ڈیٹا تک حد سے زیادہ قابل اجازت رسائی کی اجازت دینا، اور تفصیلی ایرر میسیجز کے ذریعے ایپلیکیشن کی معلومات کو عوامی طور پر ظاہر کرنا شامل ہے۔

یہاں تک کہ ایک نابینا SSRF کیس میں بھی، ایک حملہ آور جواب حاصل کرنے میں لگنے والے وقت کی پیمائش کرکے یہ جان سکتا ہے کہ آیا بندرگاہ کھلی ہے یا نہیں۔
حملہ سابقamples
سب سے زیادہ معروف سابقampایس ایس آر ایف کے حملے میں ایک سابق ایمیزون ملوث تھا۔ Web سروسز (AWS) انجینئر جس نے غلط کنفیگرڈ کا استحصال کیا۔ web ایپلیکیشن فائر وال (WAF) پھر SSRF کی خامی کا استعمال کرتے ہوئے مالیاتی کمپنی کیپٹل ون سے تعلق رکھنے والے سرور مثال سے ڈیٹا اکٹھا کرنے کے لیے۔ جولائی 2019 میں پیش آنے والے اس واقعے کے نتیجے میں تقریباً 100 ملین امریکی شہریوں اور چھ ملین کینیڈین شہریوں کا ڈیٹا چوری ہو گیا تھا۔
اکتوبر 2022 میں، ایک کلاؤڈ سیکیورٹی فرم نے مائیکروسافٹ کو کمپنی کے فلیگ شپ Azure کلاؤڈ پلیٹ فارم میں چار SSRF خطرات سے آگاہ کیا۔ ہر خطرے نے ایک مختلف Azure سروس کو متاثر کیا، بشمول Azure مشین لرننگ سروس اور Azure API مینجمنٹ سروس۔23
بطور ڈویلپر اسے کیسے روکا جائے؟
ڈویلپرز کو اپنے کوڈ میں وسائل کی بازیافت کے طریقہ کار کو شامل کرنا چاہیے، کسی بھی درخواست کی تصدیق کے لیے خصوصیت کو الگ کرنا اور اضافی تحفظات کو تہہ کرنا چاہیے۔ چونکہ اس طرح کی خصوصیات عام طور پر دور دراز کے وسائل کو حاصل کرنے کے لیے استعمال ہوتی ہیں نہ کہ داخلی، اس لیے ڈویلپرز کو ان کیپسولڈ فیچرز کو کنفیگر کرنا چاہیے تاکہ وہ اجازت یافتہ ریموٹ وسائل کی فہرست استعمال کریں اور اندرونی وسائل تک رسائی کی کوششوں کو روکیں۔ HTTP ری ڈائریکشن کو ریسورس فیچنگ فنکشنز اور نقصان دہ کوڈ کے لیے پارس کردہ کسی بھی درخواست کے لیے غیر فعال کر دیا جانا چاہیے۔
SSRF کی کمزوریوں کے خطرے کو ہمیشہ مکمل طور پر ختم نہیں کیا جا سکتا، اس لیے کمپنیوں کو بیرونی وسائل پر کالز کے استعمال کے خطرے پر باریک بینی سے غور کرنا چاہیے۔
اوپن ٹیکسٹ کس طرح مدد کرسکتا ہے؟
اوپن ٹیکسٹ ڈائنامک ایپلیکیشن سیکیورٹی ٹیسٹنگ ڈیو سیک اوپس ٹیموں کو سرور سائیڈ درخواست کی جعلسازی کے لیے باقاعدگی سے ٹیسٹ کرنے کی اجازت دیتی ہے۔ OpenTextTM ڈائنامک ایپلی کیشن سیکیورٹی ٹیسٹنگ ایک ترتیب شدہ ماحول میں ایپلیکیشن سرور کو اسکین کرتی ہے تاکہ تمام اجزاء—ایپلی کیشن، سرور، اور نیٹ ورک— کو جانچا جا سکے، جس سے متحرک تجزیہ پلیٹ فارم ایک جامع ہو view سرور کی درخواستوں کے اثرات کا۔
OpenText SAST داغدار تجزیہ کے ذریعے SSRF کے بہت سے کیسز کا پتہ لگا سکتا ہے۔ample، اگر ایپلیکیشن a کی تعمیر کے لیے غیر تصدیق شدہ صارف ان پٹ کا استعمال کرتی ہے۔ URL جو پھر حاصل کیا جائے گا۔ ٹول غیر محدود صارف ان پٹ کے استعمال کو جھنڈا لگائے گا۔

21 کیپیٹل ون سائبر واقعے سے متعلق معلومات۔ کیپیٹل ون ایڈوائزری۔ Web صفحہ 22 اپریل 2022 کو اپ ڈیٹ ہوا۔
22 این جی، الفریڈ۔ ایمیزون نے سینیٹرز کو بتایا کہ یہ کیپٹل ون کی خلاف ورزی کا ذمہ دار نہیں ہے۔ CNET نیوز۔ com. خبر کا مضمون۔ 21 نومبر 2019۔
23 شٹرٹ، لیڈور بین۔ اورکا نے کس طرح چار مختلف Azure سروسز میں سرور سائیڈ ریکویسٹ فورجری (SSRF) کی کمزوریوں کو پایا۔ اورکا سیکیورٹی بلاگ۔ Web صفحہ 17 جنوری 2023۔

API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ

17/23

سیکیورٹی کے طور پر کوڈ کنفیگریشنز کو دوبارہ قابل بنانے اور ایپلیکیشن سیکیورٹی ٹیموں کو مخصوص ایپلی کیشن اجزاء کے لیے معیاری کنفیگریشن سیٹ سیٹ کرنے کی صلاحیت دے کر مدد کر سکتا ہے۔

API8:2023–سیکیورٹی غلط کنفیگریشن
یہ کیا ہے؟
ڈویلپرز اکثر اپنی ایپلی کیشنز کو غلط کنفیگر کرتے ہیں، ترقیاتی اثاثوں کو پیداواری اثاثوں سے الگ کرنے میں ناکام رہتے ہیں، حساس برآمد کرتے ہیں۔ files-اس طرح کی ترتیب files–ان کے عوامی ذخیروں میں، اور ڈیفالٹ کنفیگریشنز کو تبدیل کرنے میں ناکام ہونا۔ سیکیورٹی کی غلط کنفیگریشن میں کمزور ڈیفالٹ کنفیگریشنز کے ساتھ ایپلیکیشنز کا سیٹ اپ کرنا، حساس فنکشنز اور ڈیٹا تک حد سے زیادہ قابل اجازت رسائی کی اجازت دینا، اور تفصیلی ایرر میسیجز کے ذریعے ایپلیکیشن کی معلومات کو عوامی طور پر ظاہر کرنا شامل ہے۔
کیا چیز کسی درخواست کو کمزور بناتی ہے؟
پہلے سے طے شدہ ایپلیکیشن کنفیگریشنز اکثر حد سے زیادہ اجازت دینے والی ہوتی ہیں، ان میں سیکیورٹی سختی کی کمی ہوتی ہے، اور کلاؤڈ اسٹوریج کی مثالیں عوام کے لیے کھلی رہتی ہیں۔ اکثر، web فریم ورک جن پر ایپلیکیشنز کی بنیاد رکھی گئی ہے ان میں ایپلیکیشن کی بہت سی خصوصیات شامل ہیں جن کی ضرورت نہیں ہے اور جن کی شمولیت سیکیورٹی کو کم کرتی ہے۔
ایک سابق میںampOWASP کی طرف سے تفصیلی طور پر، ایک سوشل نیٹ ورک جو براہ راست پیغام رسانی کی خصوصیت پیش کرتا ہے اسے صارفین کی رازداری کی حفاظت کرنی چاہیے، لیکن مندرجہ ذیل سابق کا استعمال کرتے ہوئے ایک مخصوص گفتگو کو بازیافت کرنے کے لیے API کی درخواست پیش کرتا ہے۔ample API کی درخواست:
/dm/user _ updates.json?conversation _ id=1234567&cursor=GRlFp7LCUAAAA حاصل کریں
API کا اختتامی نقطہ کیشے میں ذخیرہ شدہ ڈیٹا کو محدود نہیں کرتا، جس کے نتیجے میں نجی گفتگو کو کیش کیا جاتا ہے۔ web براؤزر حملہ آور متاثرہ کے نجی پیغامات کو بے نقاب کرتے ہوئے براؤزر سے معلومات حاصل کر سکتے تھے۔
حملہ سابقamples
مئی 2021 میں، ایک کلاؤڈ سیکیورٹی فرم نے مائیکروسافٹ کو مطلع کیا کہ کم از کم 47 مختلف صارفین مائیکروسافٹ پاور ایپس کی اپنی مثالوں کی ڈیفالٹ کنفیگریشن کو تبدیل کرنے میں ناکام رہے ہیں۔ متاثرہ تنظیموں میں امریکن ایئرلائنز اور مائیکروسافٹ جیسی کمپنیاں اور ریاستی حکومت، جیسے انڈیانا اور میری لینڈ کی کمپنیاں شامل تھیں، اور پاور ایپس پورٹلز پر ممکنہ سمجھوتہ کے لیے 38 ملین ریکارڈز کو بے نقاب کیا۔24
2022 میں، ایک خطرے سے متعلق مینجمنٹ فرم نے دریافت کیا کہ ایمیزون پر 12،000 کلاؤڈ واقعات کی میزبانی کی گئی Web سروسز اور Azure پر میزبانی کی گئی 10,500 نے Telnet کو بے نقاب کرنا جاری رکھا، ایک ریموٹ ایکسیس پروٹوکول جسے 2022 کی ایک رپورٹ کے مطابق "آج کسی بھی انٹرنیٹ پر مبنی استعمال کے لیے نامناسب" سمجھا جاتا ہے۔

24 اپ گارڈ ریسرچ۔ ڈیزائن کے لحاظ سے: مائیکروسافٹ پاور ایپس پر ڈیفالٹ اجازتوں نے لاکھوں کو کیسے بے نقاب کیا۔ اپگارڈ ریسرچ بلاگ۔ Web صفحہ 23 اگست 2021۔
25 بیئرڈسلے، ٹوڈ۔ 2022 کلاؤڈ غلط کنفیگریشن رپورٹ۔ تیز 7۔ پی ڈی ایف رپورٹ۔ ص 12. 20 اپریل 2022۔

API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ

18/23

ایک دستاویزی بلائنڈ سپاٹ وہ ہوتا ہے جب API کے مقصد، کام کرنے اور ورژن بنانے کی تفصیلات واضح نہیں ہوتی ہیں کیونکہ ان اہم اوصاف کو بیان کرنے والی دستاویزات کی کمی کی وجہ سے۔

ایک ڈویلپر کو کیسے روکا جائے؟
DevSecOps ٹیموں کو اپنی ایپلی کیشنز کے لیے محفوظ کنفیگریشنز بنانے کے لیے ضروری اقدامات کو سمجھنے اور کنفیگریشن چیک کرنے کے لیے ایک خودکار ڈیولپمنٹ پائپ لائن استعمال کرنے کی ضرورت ہے۔ files تعیناتی سے پہلے، بشمول باقاعدہ یونٹ ٹیسٹ اور رن ٹائم چیکس تاکہ سافٹ ویئر کو کنفیگریشن کی غلطیوں یا سیکیورٹی کے مسائل کے لیے مسلسل چیک کیا جا سکے۔ سیکیورٹی کے طور پر کوڈ کنفیگریشنز کو دوبارہ قابل بنانے اور ایپلیکیشن سیکیورٹی ٹیموں کو مخصوص ایپلی کیشن اجزاء کے لیے معیاری کنفیگریشن سیٹ سیٹ کرنے کی صلاحیت دے کر مدد کر سکتا ہے۔
اپنے محفوظ ترقیاتی لائف سائیکل کے حصے کے طور پر، ڈویلپرز اور آپریشنز ٹیموں کو:
ایک سختی کا عمل قائم کریں جو ایک محفوظ ایپلیکیشن ماحول کی دوبارہ تخلیق اور دیکھ بھال کو آسان بناتا ہے،
دوبارہview اور نئے معیار کو مستقل طور پر شامل کرنے کے لیے API اسٹیک میں تمام کنفیگریشنز کو اپ ڈیٹ کریں، اور
· تمام ماحول میں کنفیگریشن سیٹنگز کی تاثیر کی تشخیص کو خودکار بنائیں۔
اوپن ٹیکسٹ کس طرح مدد کرسکتا ہے؟
OpenText Static Application Security Testing ترقی کے عمل کے دوران کنفیگریشنز کو چیک کر سکتا ہے اور کئی قسم کی کمزوریوں کو دیکھ سکتا ہے۔ چونکہ سیکورٹی کی غلط کنفیگریشنز ایپلیکیشن کوڈ کی سطح اور بنیادی ڈھانچے کی سطح دونوں پر ہوتی ہیں، مختلف OpenText مصنوعات کو غلط کنفیگریشنز کو پکڑنے کے لیے استعمال کیا جا سکتا ہے۔
اوپن ٹیکسٹ سٹیٹک ایپلیکیشن سیکیورٹی ٹیسٹنگ اسکینز غلط کنفیگریشن کے مسائل کے لیے ایپلیکیشن کوڈ کو چیک کر سکتے ہیں۔ جامد تجزیہ کی جانچ کے دوران، OpenText SAST کنفیگریشن کا جائزہ لے سکتا ہے۔ fileسیکیورٹی کی خرابیوں کے لیے، بشمول Docker، Kubernetes، Ansible، Amazon کے لیے Web سروسز، CloudFormation، Terraform، اور Azure ریسورس مینیجر ٹیمپلیٹس۔
رن ٹائم کے دوران کنفیگریشن کی غلطیاں بھی پکڑی جا سکتی ہیں۔ OpenText Dynamic Application Security Testing DevSecOps ٹیموں کو عام سیکورٹی کی غلط کنفیگریشنز کے لیے باقاعدگی سے ٹیسٹ کرنے کی اجازت دیتی ہے۔ DAST اسکیننگ کی سب سے بڑی طاقت یہ ہے کہ یہ ایک ترتیب شدہ ماحول میں ایپلیکیشن سرور پر چلتا ہے، جس کا مطلب ہے کہ مکمل ماحول – ایپلیکیشن، سرور، اور نیٹ ورک– کو ایک ساتھ جانچا جاتا ہے، جس سے متحرک تجزیہ پلیٹ فارم ایک جامع ہوتا ہے۔ view پیداوار کے ماحول کو ترتیب دیا گیا ہے۔
API9:2023- نامناسب انوینٹری مینجمنٹ
یہ کیا ہے؟
زیادہ تر سافٹ ویئر اثاثوں کی طرح، APIs کا لائف سائیکل ہوتا ہے، جس میں پرانے ورژن زیادہ محفوظ اور موثر APIs سے تبدیل ہوتے ہیں یا، تیزی سے، تیسری پارٹی کی خدمات سے منسلک API کا استعمال کرتے ہیں۔ DevSecOps ٹیمیں جو اپنے API ورژن اور دستاویزات کو برقرار نہیں رکھتی ہیں وہ کمزوریاں متعارف کروا سکتی ہیں جب پرانے، ناقص API ورژن استعمال ہوتے رہتے ہیں- ایک کمزوری جسے نامناسب انوینٹری مینجمنٹ کہا جاتا ہے۔ انوینٹری کے انتظام کے بہترین طریقوں سے باخبر رہنے کی ضرورت ہوتی ہے۔

API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ

19/23

API ورژن، مربوط خدمات کی باقاعدہ تشخیص اور انوینٹرینگ، اور حفاظتی خطرات کے پھیلاؤ کو روکنے کے لیے میراثی ورژنز کی باقاعدہ فرسودگی۔
کیا چیز کسی درخواست کو کمزور بناتی ہے؟
APIs پر انحصار کرنے والے سافٹ ویئر آرکیٹیکچرز – خاص طور پر وہ لوگ جو مائیکرو سروس آرکیٹیکچرز استعمال کرتے ہیں- روایتی سے زیادہ اختتامی نکات کو بے نقاب کرتے ہیں web ایپلی کیشنز API کے اختتامی نقطوں کی کثرت، ایک ہی وقت میں موجود API کے متعدد ورژنز کے امکانات کے ساتھ، بڑھتے ہوئے حملے کی سطح کو روکنے کے لیے API فراہم کنندہ سے اضافی انتظامی وسائل کی ضرورت ہوتی ہے۔ OWASP دو بڑے بلائنڈ سپاٹس کی نشاندہی کرتا ہے جو DevSecOps ٹیموں کے پاس اپنے API انفراسٹرکچر کے حوالے سے ہو سکتے ہیں۔
سب سے پہلے، ایک دستاویزی بلائنڈ سپاٹ وہ ہوتا ہے جب API کے مقصد، کام کاج، اور ورژننگ کی تفصیلات واضح نہیں ہوتی ہیں کیونکہ ان اہم صفات کی تفصیل سے متعلق دستاویزات کی کمی کی وجہ سے۔
دوسرا، ڈیٹا فلو بلائنڈ سپاٹ اس وقت ہوتا ہے جب APIs کو ایسے طریقوں سے استعمال کیا جاتا ہے جس میں وضاحت کی کمی ہوتی ہے، جس کے نتیجے میں ایسی صلاحیتیں پیدا ہوتی ہیں جن کی اجازت بغیر کسی مضبوط کاروباری جواز کے نہیں ہونی چاہیے۔ سیکیورٹی کی ضمانتوں کے بغیر کسی تیسرے فریق کے ساتھ حساس ڈیٹا کا اشتراک کرنا، ڈیٹا کے بہاؤ کے حتمی نتیجے کی مرئیت کا فقدان، اور زنجیروں سے بند APIs میں تمام ڈیٹا کے بہاؤ کو نقشہ بنانے میں ناکام ہونا یہ سب کچھ بلائنڈ سپاٹ ہیں۔
بطور سابقampLE، OWASP رپورٹ میں ایک خیالی سوشل نیٹ ورک کا حوالہ دیا گیا ہے جو فریق ثالث کی آزاد ایپلی کیشنز کے ساتھ انضمام کی اجازت دیتا ہے۔ اگرچہ آخری صارف سے رضامندی کی ضرورت ہوتی ہے، سوشل نیٹ ورک ڈیٹا کے بہاؤ میں کافی حد تک مرئیت برقرار نہیں رکھتا ہے تاکہ نیچے دھارے والی جماعتوں کو ڈیٹا تک رسائی سے روکا جا سکے، جیسا کہ نہ صرف صارف بلکہ ان کے دوستوں کی سرگرمی کی نگرانی کرنا۔
حملہ سابقamples
2013 اور 2014 میں، تقریباً 300,000 لوگوں نے فیس بک پلیٹ فارم پر ایک آن لائن نفسیاتی کوئز لیا۔ کوئز کے پیچھے والی کمپنی، کیمبرج اینالیٹیکا نے نہ صرف ان صارفین کے بارے میں معلومات اکٹھی کیں، بلکہ ان کے منسلک دوستوں کے ساتھ ساتھ- ایک آبادی جس کی کل تعداد 87 ملین تھی، جن میں سے اکثریت نے اپنی معلومات اکٹھی کرنے کی اجازت نہیں دی۔ اس کے بعد کمپنی نے ان معلومات کو اپنے کلائنٹس کی جانب سے اشتہارات اور پیغام رسانی کے لیے تیار کرنے کے لیے استعمال کیا، بشمول ٹرمپ کی حمایت کرنے والے سیاسی اشتہارات بھیجنا۔amp2016 کے انتخابات میں حصہ لینا۔ampنامناسب انوینٹری مینجمنٹ کے لی۔
بطور ڈویلپر اسے کیسے روکا جائے؟
DevSecOps ٹیموں کو تمام API میزبانوں کو دستاویز کرنا چاہیے اور APIs اور فریق ثالث کی خدمات کے درمیان ڈیٹا کے بہاؤ میں مرئیت کو برقرار رکھنے پر توجہ مرکوز کرنی چاہیے۔ نامناسب انوینٹری مینجمنٹ کو روکنے کا بنیادی طریقہ تمام API سروسز اور میزبانوں کے اہم پہلوؤں کی تفصیلی دستاویزات ہیں، بشمول یہ معلومات کہ وہ کون سا ڈیٹا سنبھالتے ہیں، میزبانوں اور ڈیٹا تک کس کی رسائی ہے،
26 روزنبرگ، میتھیو اور ڈانس، گیبریل۔ 'آپ پروڈکٹ ہیں': فیس بک پر کیمبرج اینالیٹیکا کے ذریعہ نشانہ بنایا گیا۔ نیویارک ٹائمز۔ خبر کا مضمون۔ 8 اپریل 2018۔

API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ

20/23

تنظیمیں OpenText کے ذریعہ OpenText Secure API مینیجر کا استعمال کرتے ہوئے اپنے API کے استعمال کا انتظام، نگرانی، محفوظ اور دستاویز کر سکتی ہیں، جو ایپلی کیشن سیکیورٹی ٹیموں کو API اثاثوں کی تازہ ترین انوینٹری کو برقرار رکھنے کی اجازت دیتا ہے۔

اور ہر میزبان کے مخصوص API ورژن۔ تکنیکی تفصیلات جو دستاویز کی جانی چاہئیں ان میں توثیق کا نفاذ، غلطی سے نمٹنے، شرح کو محدود کرنے والے دفاع، کراس اوریجن ریسورس شیئرنگ (CORS) پالیسی، اور ہر اختتامی نقطہ کی تفصیلات شامل ہیں۔
دستاویزات کے اہم حجم کو دستی طور پر منظم کرنا مشکل ہے، لہذا مسلسل انضمام کے عمل کے ذریعے دستاویزات تیار کرنے اور کھلے معیارات کے استعمال کی سفارش کی جاتی ہے۔ API دستاویزات تک رسائی ان ڈویلپرز تک بھی محدود ہونی چاہیے جو API استعمال کرنے کے مجاز ہیں۔
ایپلیکیشن کی تعمیر اور جانچ کے مراحل کے دوران، ڈویلپرز کو پروڈکشن ڈیٹا کو ڈویلپمنٹ یا s پر استعمال کرنے سے گریز کرنا چاہیے۔tagڈیٹا لیک کو روکنے کے لیے ایپلیکیشن کے ایڈ ورژنز۔ جب APIs کے نئے ورژن جاری کیے جاتے ہیں، تو DevSecOps ٹیم کو خطرے کا تجزیہ کرنا چاہیے تاکہ ایڈوان لینے کے لیے ایپلی کیشنز کو اپ گریڈ کرنے کے لیے بہترین طریقہ کا تعین کیا جا سکے۔tagبڑھتی ہوئی سیکورٹی کی.
اوپن ٹیکسٹ کس طرح مدد کرسکتا ہے؟
تنظیمیں OpenTextTM Secure API مینیجر کا استعمال کرتے ہوئے اپنے API کے استعمال کا انتظام، نگرانی، محفوظ اور دستاویز کر سکتی ہیں، جو کہ ایپلی کیشن سیکیورٹی ٹیموں کو API اثاثوں کی تازہ ترین انوینٹری کو برقرار رکھنے کی اجازت دیتا ہے۔ OpenText Secure API مینیجر ایک مستند ذخیرہ فراہم کرتا ہے جہاں آپ کی DevSecOps ٹیم تنظیم کے زیر استعمال تمام APIs کو اسٹور اور ان کا نظم کر سکتی ہے، جس سے API کی ترقی سے ریٹائرمنٹ تک زندگی کے دور کو منظم کرنے میں آسان ہے۔ سافٹ ویئر تفصیلی تجزیات کی اجازت دے کر ضوابط اور لائسنس کی تعمیل کو بہتر بنانے میں مدد کرتا ہے۔
API10:2023- APIs کا غیر محفوظ استعمال
یہ کیا ہے؟
ایپلی کیشنز بنانے کے لیے مقامی کلاؤڈ انفراسٹرکچر کے بڑھتے ہوئے استعمال کے ساتھ، APIs ایپلی کیشن کے اجزاء کے درمیان انضمام کا نقطہ بن گئے ہیں۔ تاہم، APIs کے ذریعے رسائی حاصل کی جانے والی فریق ثالث کی خدمات کی حفاظتی کرنسی شاذ و نادر ہی واضح ہوتی ہے، جو حملہ آوروں کو یہ تعین کرنے کی اجازت دیتی ہے کہ ایپلی کیشن کن سروسز پر انحصار کرتی ہے اور آیا ان میں سے کسی بھی خدمات میں سیکیورٹی کی کمزوریاں ہیں۔ ڈویلپرز ان اختتامی نکات پر بھروسہ کرتے ہیں جن پر ان کی ایپلیکیشن بیرونی یا فریق ثالث APIs کی تصدیق کیے بغیر تعامل کرتی ہے۔ APIs کی یہ غیر محفوظ کھپت اکثر ایسی خدمات پر ایپلی کیشن کے انحصار کا باعث بنتی ہے جن میں سیکیورٹی کے کمزور تقاضے ہوتے ہیں یا جن میں بنیادی سیکیورٹی سختی نہیں ہوتی، جیسے کہ ان پٹ کی توثیق۔
کیا چیز کسی درخواست کو کمزور بناتی ہے؟
ڈویلپرز صارف کے ان پٹ سے زیادہ فریق ثالث APIs سے موصول ہونے والے ڈیٹا پر بھروسہ کرتے ہیں، حالانکہ دونوں ذرائع بنیادی طور پر متحرک حملہ آور کے برابر ہیں۔ اس غلط اعتماد کی وجہ سے، ڈویلپرز بنیادی طور پر ان پٹ کی توثیق اور صفائی کی کمی کی وجہ سے کمزور حفاظتی معیارات پر انحصار کرتے ہیں۔
APIs کا غیر محفوظ استعمال ہو سکتا ہے اگر درخواست:
· غیر خفیہ کردہ مواصلات کا استعمال کرتے ہوئے دوسرے APIs کا استعمال یا استعمال کرتا ہے،
دیگر APIs یا خدمات سے ڈیٹا کی توثیق اور صفائی کرنے میں ناکام،
· بغیر کسی سیکورٹی چیک کے ری ڈائریکشن کی اجازت دیتا ہے، یا

API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ

21/23

اگر ڈویلپر API اینڈ پوائنٹ کے ذریعے واپس کیے گئے کسی بھی ڈیٹا کی تصدیق کے لیے اپنی ایپلی کیشن میں سیکیورٹی چیک کو کوڈ نہیں کرتا ہے، تو ان کی ایپلیکیشن ری ڈائریکٹ کی پیروی کرے گی اور حملہ آور کو حساس طبی معلومات بھیجے گی۔
OWASP API سیکورٹی ٹاپ-10 کلاؤڈ-نیٹیو ڈویلپرز کے لیے انتہائی اہم ہے۔ پھر بھی، ایس کیو ایل انجیکشن، ڈیٹا ایکسپوژر، اور سیکیورٹی کی غلط کنفیگریشن جیسی عام ایپلی کیشن کی کمزوریوں کو حل کرنے کو ترجیح دینی چاہیے، کیونکہ سائبر خطرات سے ان کا اکثر استحصال کیا جاتا ہے۔ API Security Top-10 محفوظ سافٹ ویئر ڈویلپمنٹ کا ایک لازمی حصہ ہے لیکن عام ایپلی کیشن کی کمزوریوں کو دور کرنے کے لیے ثانوی ہونا چاہیے۔

· حد اور ٹائم آؤٹ کا استعمال کرتے ہوئے وسائل کی کھپت کو محدود کرنے میں ناکام۔
ایک سابق میںampLE OWASP رپورٹ سے، ایک API جو صارف کی حساس طبی معلومات کو ذخیرہ کرنے کے لیے تیسرے فریق سروس فراہم کنندہ کے ساتھ مربوط ہوتا ہے، ایک API اینڈ پوائنٹ کے ذریعے نجی ڈیٹا بھیج سکتا ہے۔ حملہ آور 308 مستقل ری ڈائریکٹ: HTTP/1.1 308 مستقل ری ڈائریکٹ کے ساتھ مستقبل کی درخواستوں کا جواب دینے کے لیے فریق ثالث API میزبان سے سمجھوتہ کر سکتے ہیں۔
مقام: https://attacker.com/
اگر ڈویلپر API اینڈ پوائنٹ کے ذریعے واپس کیے گئے کسی بھی ڈیٹا کی تصدیق کے لیے اپنی ایپلی کیشن میں سیکیورٹی چیک کو کوڈ نہیں کرتا ہے، تو ان کی ایپلیکیشن ری ڈائریکٹ کی پیروی کرے گی اور حملہ آور کو حساس طبی معلومات بھیجے گی۔
حملہ سابقamples
دسمبر 2021 میں، عام طور پر استعمال ہونے والے اوپن سورس سافٹ ویئر کے جزو، Log4J میں کمزوریوں کے ایک سیٹ نے حملہ آور کو غیر محفوظ شدہ ان پٹ فراہم کرنے کی اجازت دی، جیسے کہ ایک انکوڈ شدہ اسکرپٹ، اور سرور پر اسکرپٹ کو انجام دینے کے لیے Log4J کے کمزور ورژنز کا استعمال کیا۔ Log4J خطرے کے پیچھے مسئلہ ان پٹ کی توثیق کی کمی سے پیدا ہوا، خاص طور پر صارف کے فراہم کردہ ڈیٹا پر سیکیورٹی چیک کرنے میں ناکامی۔ سیریلائزڈ بدنیتی پر مبنی کوڈ بھیج کر، حملہ آور کمزوری کا فائدہ اٹھا سکتے ہیں اور خطرے کے ساتھ سرور پر حملہ کر سکتے ہیں۔ ڈویلپرز کو تھرڈ پارٹی APIs اور دیگر بیرونی ذرائع سے فراہم کردہ تمام ان پٹ کو چیک کرنا چاہیے۔27
ایک ڈویلپر کو کیسے روکا جائے؟
ڈیولپرز کو سروس فراہم کنندگان کی جانچ کرتے وقت، ان کے API سیکیورٹی پوزیشن کا اندازہ لگاتے ہوئے اور سخت سیکیورٹی کنٹرولز کو لاگو کرتے وقت مستعدی سے کام لینا چاہیے۔ اس کے علاوہ، ڈویلپرز کو اس بات کی تصدیق کرنی چاہیے کہ فریق ثالث APIs اور فریق ثالث سے تنظیم کے APIs تک کی تمام مواصلات جاسوسی اور ری پلے حملوں کو روکنے کے لیے ایک محفوظ مواصلاتی چینل کا استعمال کرتے ہیں۔
بیرونی صارفین اور مشینوں سے ڈیٹا وصول کرتے وقت، کوڈ کے نادانستہ عمل کو روکنے کے لیے ان پٹس کو ہمیشہ سینیٹائز کیا جانا چاہیے۔ آخر میں، APIs کے ذریعے مربوط کلاؤڈ سروسز کے لیے، انٹیگریٹڈ حل کے ایڈریس کو لاک کرنے کے لیے اجازت دیں فہرستوں کا استعمال کیا جانا چاہیے، بجائے اس کے کہ کسی بھی IP ایڈریس کو ایپلی کیشن کے API کو کال کرنے کی اجازت دی جائے۔
اوپن ٹیکسٹ کس طرح مدد کرسکتا ہے؟
اوپن ٹیکسٹ سٹیٹک ایپلیکیشن سیکیورٹی ٹیسٹنگ کے جامد کوڈ اور API تجزیہ خصوصیات کو OpenText ڈائنامک ایپلیکیشن سیکیورٹی ٹیسٹنگ (DAST) سویٹ کے رن ٹائم چیکس کے ساتھ ملا کر، DevSecOps ٹیمیں تیسری پارٹی کے APIs کے اپنی ایپلیکیشن کے استعمال کی جانچ کر سکتی ہیں اور عام حملے کی اقسام کی جانچ کر سکتی ہیں۔ غیر محفوظ APIs تلاش کرنے کے لیے، OpenText Secure API مینیجر سسٹم کے ذریعے بلائے جانے والے تمام APIs کا ایک ذخیرہ بنا سکتا ہے اور ساتھ ہی کون سی بیرونی ایپلی کیشنز آپ کی ایپلیکیشن کے APIs کو استعمال کر سکتی ہیں۔
27 مائیکروسافٹ تھریٹ انٹیلی جنس۔ Log4j 2 کمزوری کے استحصال کو روکنے، اس کا پتہ لگانے اور شکار کرنے کے لیے رہنمائی۔ مائیکروسافٹ Web صفحہ اپ ڈیٹ کیا گیا: 10 جنوری 2022۔

API سیکیورٹی کے لیے 2023 OWASP ٹاپ 10 کے لیے ڈویلپر گائیڈ

22/23

آگے کہاں جانا ہے۔
اس دستاویز میں مذکور پروڈکٹس یہ ہیں: OpenText Application Security >
اوپن ٹیکسٹ سٹیٹک ایپلیکیشن سیکیورٹی ٹیسٹنگ >
اوپن ٹیکسٹ ڈائنامک ایپلیکیشن سیکیورٹی ٹیسٹنگ >
اوپن ٹیکسٹ سیکیور API مینیجر >
اضافی وسائل OWASP ٹاپ 10 API سیکیورٹی رسک – 2023 >
گارٹنر میجک کواڈرینٹ برائے ایپلیکیشن سیکیورٹی ٹیسٹنگ >
اوپن ٹیکسٹ ایپلیکیشن سیکیورٹی Webinar سیریز >

API سیکورٹی ٹاپ 10 کافی نہیں ہے!
کلاؤڈ مقامی ڈویلپرز کے لیے جو خاص طور پر کسی ایپلیکیشن کے دوسرے حصوں، اندرونی صارفین، یا عالمی استعمال کے لیے خدمات پیش کرنے کے لیے APIs بنانے پر توجہ مرکوز کرتے ہیں، OWASP API سیکیورٹی ٹاپ 10 فہرست پڑھنے اور سمجھنے کے لیے ایک اہم دستاویز ہے۔
تاہم، OWASP API سیکورٹی ٹاپ 10 کوئی اسٹینڈ اکیلا دستاویز نہیں ہے۔ ڈویلپرز کو یہ بھی یقینی بنانے کی ضرورت ہے کہ وہ بہترین طریقوں کے دیگر ذرائع، جیسے OWASP Top 10، جو ان کے موجودہ اطلاق اور فن تعمیر سے متعلق ہیں۔ عام ایپلیکیشن کی کمزوریاں - ایس کیو ایل انجیکشن، ڈیٹا کی نمائش، اور سیکورٹی کی غلط کنفیگریشن- یہ عام طریقے ہیں کہ سائبر خطرے والے گروپ کارپوریٹ انفراسٹرکچر سے سمجھوتہ کر سکتے ہیں اور ان کا فوری تدارک کیا جانا چاہیے۔ اس کے علاوہ، کچھ API پر مبنی ایپلی کیشنز، جیسے کہ موبائل ایپس، کو الگ الگ ایپسیک سخت کرنے کے مختلف مراحل کی ضرورت ہوتی ہے۔ web-ایپ، اور کنیکٹ اور آئی او ٹی ڈیوائسز کے لیے درکار چیزوں سے مختلف۔ مجموعی طور پر، API سیکیورٹی ٹاپ 10 کی فہرست اہم ہے، لیکن یہ مجموعی طور پر محفوظ سافٹ ویئر ڈویلپمنٹ لائف سائیکل کا صرف ایک پہلو ہے۔ فہرست، اور OWASP ٹاپ 10 کی فہرست، کو کسی دوسرے متعلقہ معیارات اور بہترین طریقوں کے ساتھ استعمال کیا جانا چاہیے جو تجزیہ کے تحت حل کے لیے درکار ہیں۔
نتیجہ
چونکہ ایپلی کیشنز تیزی سے کلاؤڈ انفراسٹرکچر پر انحصار کرتی ہیں، web ایپلیکیشن پروگرامنگ انٹرفیس (APIs) انٹرنیٹ کی بنیاد بن چکے ہیں۔ کمپنیوں کے پاس عام طور پر سینکڑوں، اگر ہزاروں نہیں، تو اپنے ماحول میں API کے اختتامی نقطے ہوتے ہیں، جو ان کے حملے کی سطح کو ڈرامائی طور پر بڑھاتے ہیں اور ایپلی کیشنز کو مختلف قسم کی کمزوریوں سے آگاہ کرتے ہیں۔
2023 OWASP API سیکورٹی ٹاپ 10 کی فہرست کا اجراء کمپنیوں اور ڈویلپرز کے لیے API پر مبنی انفراسٹرکچر کے خطرات کے بارے میں خود کو آگاہ کرنے اور اپنی درخواستوں کا جائزہ لینے کے لیے ایک اچھا نقطہ آغاز ہے۔ زیادہ معروف ایپلی کیشن سیکیورٹی ٹاپ-10 فہرست کے ساتھ، درجہ بندی کا جوڑا DevSecOps ٹیموں کو ان کی ایپلی کیشنز کی مجموعی سیکیورٹی کے لیے ایک جامع نقطہ نظر تیار کرنے میں مدد کر سکتا ہے۔
DevSecOps ٹیموں کو APIs کے حفاظتی مضمرات سے آگاہ ہونے کی ضرورت ہے، عمل درآمد کی کمزوریوں اور حفاظتی کمزوریوں کو کیسے کم کیا جائے، اور اپنی ڈیولپمنٹ پائپ لائن اور نتیجے میں آنے والے API سرور کو کس طرح سخت کیا جائے تاکہ حملہ آوروں کے لیے اس کے APIs کے ذریعے کسی ایپلیکیشن سے سمجھوتہ کرنا مشکل ہو جائے۔

کاپی رائٹ © 2025 اوپن ٹیکسٹ · 04.25 | 262-000177-001

دستاویزات / وسائل

اوپن ٹیکسٹ 262-000177-001 OWASP ٹاپ 10 برائے API سیکیورٹی [پی ڈی ایف] یوزر مینوئل
262-000177-001، 262-000177-001 OWASP ٹاپ 10 API سیکیورٹی کے لیے، 262-000177-001، OWASP ٹاپ 10 API سیکیورٹی کے لیے، API سیکیورٹی کے لیے، API سیکیورٹی، سیکیورٹی

حوالہ جات

ایک تبصرہ چھوڑیں۔

آپ کا ای میل پتہ شائع نہیں کیا جائے گا۔ مطلوبہ فیلڈز نشان زد ہیں۔ *