سرفہرست OATH API کمزوریاں
سرفہرست OATH API کمزوریاں: تعارف
جب استحصال کی بات آتی ہے تو، APIs شروع کرنے کی سب سے بڑی جگہ ہیں۔ API رسائی عام طور پر تین حصوں پر مشتمل ہوتی ہے۔ کلائنٹس کو ایک اتھورائزیشن سرور کے ذریعہ ٹوکن جاری کیا جاتا ہے، جو APIs کے ساتھ چلتا ہے۔ API کو کلائنٹ سے رسائی کے ٹوکنز موصول ہوتے ہیں اور ان کی بنیاد پر ڈومین کے لیے مخصوص اجازت کے اصول لاگو ہوتے ہیں۔
جدید سافٹ ویئر ایپلی کیشنز مختلف قسم کے خطرات کا شکار ہیں۔ تازہ ترین کارناموں اور حفاظتی خامیوں پر رفتار برقرار رکھیں؛ حملہ ہونے سے پہلے درخواست کی حفاظت کو یقینی بنانے کے لیے ان کمزوریوں کے لیے معیارات کا ہونا ضروری ہے۔ فریق ثالث کی ایپلیکیشنز تیزی سے OAuth پروٹوکول پر انحصار کر رہی ہیں۔ اس ٹیکنالوجی کی بدولت صارفین کو مجموعی طور پر صارف کا بہتر تجربہ ہوگا، ساتھ ہی تیز لاگ ان اور اجازت ملے گی۔ یہ روایتی اجازت کے مقابلے میں زیادہ محفوظ ہو سکتا ہے کیونکہ صارفین کو دیئے گئے وسائل تک رسائی حاصل کرنے کے لیے فریق ثالث کی درخواست کے ساتھ اپنی اسناد ظاہر کرنے کی ضرورت نہیں ہے۔ اگرچہ پروٹوکول خود محفوظ اور محفوظ ہے، لیکن اس کے نفاذ کا طریقہ آپ کو حملے کے لیے کھلا چھوڑ سکتا ہے۔
APIs کو ڈیزائن اور ہوسٹ کرتے وقت، یہ مضمون عام OAuth کمزوریوں کے ساتھ ساتھ مختلف حفاظتی تخفیف پر توجہ مرکوز کرتا ہے۔
ٹوٹے ہوئے آبجیکٹ لیول کی اجازت
اگر اجازت کی خلاف ورزی ہوتی ہے تو ایک وسیع حملے کی سطح ہوتی ہے کیونکہ APIs اشیاء تک رسائی فراہم کرتے ہیں۔ چونکہ API- قابل رسائی آئٹمز کی توثیق ہونی چاہیے، اس لیے یہ ضروری ہے۔ API گیٹ وے کا استعمال کرتے ہوئے آبجیکٹ لیول کی اجازت کی جانچ کو لاگو کریں۔ صرف ان لوگوں کو رسائی کی اجازت دی جانی چاہئے جن کے پاس اجازت کی مناسب اسناد ہوں۔
ٹوٹا ہوا صارف کی توثیق
غیر مجاز ٹوکن حملہ آوروں کے لیے APIs تک رسائی حاصل کرنے کا ایک اور طریقہ ہے۔ توثیق کے نظام کو ہیک کیا جا سکتا ہے، یا ایک API کلید غلطی سے بے نقاب ہو سکتی ہے۔ توثیق ٹوکن ہو سکتے ہیں۔ ہیکرز کی طرف سے استعمال کیا جاتا ہے رسائی حاصل کرنے کے لیے۔ لوگوں کی تصدیق صرف اس صورت میں کریں جب ان پر بھروسہ کیا جا سکے، اور مضبوط پاس ورڈ استعمال کریں۔ OAuth کے ساتھ، آپ محض API کیز سے آگے جا کر اپنے ڈیٹا تک رسائی حاصل کر سکتے ہیں۔ آپ کو ہمیشہ یہ سوچنا چاہیے کہ آپ کسی جگہ کے اندر اور باہر کیسے جائیں گے۔ OAuth MTLS بھیجنے والے محدود ٹوکنز کو Mutual TLS کے ساتھ مل کر اس بات کی ضمانت کے لیے استعمال کیا جا سکتا ہے کہ دیگر مشینوں تک رسائی کے دوران کلائنٹس غلط برتاؤ نہیں کرتے اور غلط پارٹی کو ٹوکن پاس نہیں کرتے۔
API پروموشن:
ضرورت سے زیادہ ڈیٹا کی نمائش
آخری پوائنٹس کی تعداد پر کوئی پابندی نہیں ہے جو شائع ہو سکتے ہیں۔ زیادہ تر وقت، تمام خصوصیات تمام صارفین کے لیے دستیاب نہیں ہوتی ہیں۔ بالکل ضروری سے زیادہ ڈیٹا کو بے نقاب کرکے، آپ اپنے آپ کو اور دوسروں کو خطرے میں ڈالتے ہیں۔ حساس باتوں کو ظاہر کرنے سے گریز کریں۔ معلومات جب تک یہ بالکل ضروری نہ ہو۔ ڈیولپرز OAuth کے دائرہ کار اور دعووں کو استعمال کر کے بتا سکتے ہیں کہ کس کو کس چیز تک رسائی حاصل ہے۔ دعوے یہ بتا سکتے ہیں کہ صارف کو ڈیٹا کے کن حصوں تک رسائی حاصل ہے۔ تمام APIs میں معیاری ڈھانچے کا استعمال کرکے رسائی کنٹرول کو آسان اور آسان بنایا جا سکتا ہے۔
وسائل کی کمی اور شرح کی حد بندی
کالی ٹوپیاں اکثر سرور کو مغلوب کرنے اور اس کے اپ ٹائم کو صفر تک کم کرنے کے ایک بری طاقت طریقے کے طور پر ڈینیئل آف سروس (DoS) حملوں کا استعمال کرتی ہیں۔ وسائل پر کسی پابندی کے بغیر جنہیں بلایا جا سکتا ہے، ایک API کمزور کرنے والے حملے کا خطرہ ہے۔ 'API گیٹ وے یا مینجمنٹ ٹول کا استعمال کرتے ہوئے، آپ APIs کے لیے شرح کی پابندیاں سیٹ کر سکتے ہیں۔ فلٹرنگ اور صفحہ بندی کو شامل کیا جانا چاہئے، ساتھ ہی جوابات پر پابندی ہے۔
سیکورٹی سسٹم کی غلط کنفیگریشن
سیکورٹی کی غلط کنفیگریشن کے نمایاں امکان کی وجہ سے مختلف سیکورٹی کنفیگریشن گائیڈلائنز کافی جامع ہیں۔ بہت سی چھوٹی چیزیں آپ کے پلیٹ فارم کی سلامتی کو خطرے میں ڈال سکتی ہیں۔ یہ ممکن ہے کہ بلیک ٹوپیاں غلط مقاصد کے ساتھ ایک مثال کے طور پر، غلط استفسارات کے جواب میں بھیجی گئی حساس معلومات کو دریافت کر سکتی ہیں۔
بڑے پیمانے پر تفویض
صرف اس وجہ سے کہ ایک اختتامی نقطہ عوامی طور پر بیان نہیں کیا گیا ہے اس کا مطلب یہ نہیں ہے کہ ڈویلپرز کے ذریعہ اس تک رسائی حاصل نہیں کی جاسکتی ہے۔ ایک خفیہ API کو ہیکرز کے ذریعہ آسانی سے روکا اور ریورس انجینئر کیا جا سکتا ہے۔ اس بنیادی مثال پر ایک نظر ڈالیں، جو ایک "نجی" API میں اوپن بیئرر ٹوکن کا استعمال کرتی ہے۔ دوسری طرف، عوامی دستاویزات کسی ایسی چیز کے لیے موجود ہو سکتی ہیں جو خصوصی طور پر ذاتی استعمال کے لیے ہو۔ ظاہری معلومات کو کالی ٹوپیوں کے ذریعے نہ صرف پڑھنے کے لیے استعمال کیا جا سکتا ہے بلکہ آبجیکٹ کی خصوصیات کو بھی جوڑ دیا جا سکتا ہے۔ اپنے آپ کو ایک ہیکر سمجھیں جب آپ اپنے دفاع میں ممکنہ کمزور نکات تلاش کرتے ہیں۔ صرف ان لوگوں تک رسائی کی اجازت دیں جن کو واپس کیا گیا تھا۔ خطرے کو کم کرنے کے لیے، API رسپانس پیکج کو محدود کریں۔ جواب دہندگان کو کوئی ایسا لنک شامل نہیں کرنا چاہیے جس کی قطعی ضرورت نہ ہو۔
ترقی یافتہ API:
اثاثہ جات کا غلط انتظام
ڈویلپر کی پیداواری صلاحیت کو بڑھانے کے علاوہ، موجودہ ورژن اور دستاویزات آپ کی اپنی حفاظت کے لیے ضروری ہیں۔ نئے ورژن متعارف کرانے اور پرانے APIs کی فرسودگی کے لیے بہت پہلے سے تیاری کریں۔ پرانے کو استعمال میں رہنے کی اجازت دینے کے بجائے نئے APIs کا استعمال کریں۔ ایک API تفصیلات کو دستاویزات کے لیے سچائی کے بنیادی ذریعہ کے طور پر استعمال کیا جا سکتا ہے۔
انجکشن
APIs انجیکشن کے لئے کمزور ہیں، لیکن تیسری پارٹی کے ڈویلپر ایپس بھی ہیں۔ بدنیتی پر مبنی کوڈ ڈیٹا کو حذف کرنے یا خفیہ معلومات، جیسے پاس ورڈ اور کریڈٹ کارڈ نمبرز کو چرانے کے لیے استعمال کیا جا سکتا ہے۔ اس سے دور کرنے کا سب سے اہم سبق یہ ہے کہ پہلے سے طے شدہ ترتیبات پر انحصار نہ کریں۔ آپ کا انتظام یا گیٹ وے سپلائر آپ کی منفرد درخواست کی ضروریات کو پورا کرنے کے قابل ہونا چاہیے۔ خرابی کے پیغامات میں حساس معلومات شامل نہیں ہونی چاہئیں۔ شناختی ڈیٹا کو سسٹم سے باہر لیک ہونے سے روکنے کے لیے، ٹوکنز میں Pirwise تخلص کا استعمال کیا جانا چاہیے۔ یہ یقینی بناتا ہے کہ کوئی بھی کلائنٹ کسی صارف کی شناخت کے لیے مل کر کام نہیں کر سکتا۔
ناکافی لاگنگ اور مانیٹرنگ
جب کوئی حملہ ہوتا ہے، ٹیموں کو ایک سوچی سمجھی ردعمل کی حکمت عملی کی ضرورت ہوتی ہے۔ اگر قابل اعتماد لاگنگ اور نگرانی کا نظام موجود نہیں ہے تو ڈویلپرز بغیر پکڑے کمزوریوں کا استحصال جاری رکھیں گے، جس سے نقصانات میں اضافہ ہوگا اور کمپنی کے بارے میں عوام کے تاثر کو نقصان پہنچے گا۔ سخت API مانیٹرنگ اور پروڈکشن اینڈ پوائنٹ ٹیسٹنگ کی حکمت عملی اپنائیں وائٹ ہیٹ ٹیسٹرز جو ابتدائی طور پر کمزوریوں کا پتہ لگاتے ہیں انہیں انعامی اسکیم سے نوازا جانا چاہئے۔ API ٹرانزیکشنز میں صارف کی شناخت کو شامل کرکے لاگ ٹریل کو بہتر بنایا جا سکتا ہے۔ یقینی بنائیں کہ آپ کے API فن تعمیر کی تمام تہوں کا Access Token ڈیٹا استعمال کرکے آڈٹ کیا گیا ہے۔
نتیجہ
پلیٹ فارم آرکیٹیکٹس اپنے نظام کو لیس کر سکتے ہیں تاکہ وہ حملہ آوروں سے ایک قدم آگے بڑھ کر خطرے کے قائم کردہ معیار پر عمل کر سکیں۔ چونکہ APIs ذاتی طور پر قابل شناخت معلومات (PII) تک رسائی فراہم کر سکتے ہیں، اس لیے ایسی خدمات کی حفاظت کو برقرار رکھنا کمپنی کے استحکام اور قانون سازی جیسے GDPR کی تعمیل دونوں کے لیے اہم ہے۔ API گیٹ وے اور فینٹم ٹوکن اپروچ کا استعمال کیے بغیر کبھی بھی OAuth ٹوکن براہ راست API پر نہ بھیجیں۔
ترقی یافتہ API:
