GH GambleHub

Коопсуздук API жана чыпкалоо суроолор

1) Эмне үчүн керек

API - платформанын тышкы жана ички чек арасы. Аутентификациядагы, авторизациялоодогу, валидациялоодогу же нормалдаштыруудагы ар кандай ката алсыздыктарды эксплуатациялоого айланат (BOLA/IDOR, injection, SSRF, массалык ашыкча чыгуу, ресурстук чарчоо). Максаты: өлчөнүүчү SLO жана тобокелдиктерди көзөмөлдөө менен бизнес эрежелерине чейин периметрден көп баскычтуу коргоону (defense-in-depth) түзүү.

2) Инвентаризация жана классификация API

API каталогу: бардык кызматтардын/эндпоинттердин реестри, ээлери, версиялары, кардарлардын түрлөрү (web, мобилдик, өнөктөштөр), режими (ачык/өнөктөш/ички), PII/финансылык маалыматтар.
Criticity: High (Финансылык операциялар/Авторизация), Medium (Профилди окуу), Low (Коомдук каталогдор).
кол бети: REST, GraphQL, gRPC, WebSocket, webhooks.
Статус: prod/staging/experimental, депрекейт саясаты, токендердин/ачкычтардын өмүрү.
Shadow/кароосуз API: Ingrest Logs аркылуу аныктоо, eBPF/Кызмат Mesh Telemetry, каталог менен салыштыруу.

3) коркунуч модели (кыскача)

Идентификация: токендерди уурдоо, сессияны бекитүү, MitM, replay.
Authorization: BOLA/IDOR, горизонталдуу/тик эскалация.
Киргизүү: сайма (SQL/NoSQL/LDAP), шаблон/serilization, жол traversal, аталыштары.
Traffic: DDoS/L7-Flood, жай суроо, Phantom Retray.
Интеграциялар: кооптуу webhooks, URL параметрлери аркылуу SSRF, файлдарды/сканерлерди жүктөө.
Логика: бонустарды кыянаттык менен пайдалануу, жарыш, макул эместик.

4) негизги коопсуздук стандарты (минималдуу)

1. TLS 1. 2 + бардык жерде; HSTS; алсыз шифрлер өчүрүлдү.
2. Аутентификация: кардарлар үчүн OAuth2/OIDC, mTLS/же HMAC - тейлөө кызматы.
3. Authorization: борборлоштурулган PDP (RBAC/ABAC), объект денгээлде текшерүү (BOLA).
4. Валидация: катуу схема (OpenAPI/JSON Schema/Protobuf), ашыкча талааларда баш тартуу.
5. Лимиттер: rate/quotas + burst, per-кардар/per-IP/per-токен.
6. write-бүтүмдөрдү, кайталоо/жарыш коргоо боюнча ыктымалдыгы.
7. WAF/Gateway-чыпкалоо: жолдорду/аталыштарды нормалдаштыруу, deny-барактар, бирдик төлөөгө каршы үлгүлөрү.
8. Сырлар: KMS/Vault, ачкычтарды/сертификаттарды айлантуу, агып чыгууну көзөмөлдөө.
9. Байкоо: трассировка, аудит-коопсуздук (ким/эмне/качан/натыйжа), алерталар.
10. Жол-жоболору: playbook окуялар, сыноо учурлары жана үзгүлтүксүз pentestes/DAST.

5) Аутентификация жана токендерди башкаруу

OAuth2/OIDC: кыска мөөнөттүү access токендер, OIDC боюнча катуу refresh; audience/issuer/exp gateway боюнча текшерилет.
JWT: RS256/ES256; минималдуу клеймо топтому; 'nbf/exp/aud' милдеттүү; PII сактоого тыюу салуу. JWKS аркылуу ачкычтарды айлантуу.
DPoP/PoP: replay/уурулук коркунучун азайтуу үчүн кардардын ачкычына токенди байлоо.
mTLS ички системалары жана ишенимдүү өнөктөштөр үчүн (CN/SAN, CRL/OCSP боюнча аттестация).
HMAC (кол тамгалар): детерминацияланган каноникализация (ыкма + жол + timestamp + nonce + body-hash); жол убакыт терезе (± 300s).
Браузер сессиялары: SameSite = strict/lax, HttpOnly, Secure; CSRF (double submit/мамлекеттик токендер) каршы коргоо.
Кардарларды сактоо: Мобилдеги - коопсуз сактоочу жайлар (Keychain/Keystore), дебаг коргоо, пиннинг сертификаттары.

6) Авторизация (BOLA-first)

Object-level: ар бир иш белгилүү бир ресурстун укугун текшерет (resource owner/scope/атрибуттар).
RBAC/ABAC: ролдору + атрибуттар (өлкө, сегмент, тобокелдик чектери, KYC-деңгээл).
Саясат: deny-by-default; ачык allow; саясат версиялоо; терс учурлар үчүн тесттер.
Чечим кэш: ролдорду/сегменттерди өзгөртүүдө адаптивдүү TTL + майып.

7) чыпкалоо жана суроо-талаптардын нормалдаштыруу (Gateway/WAF боюнча)

Нормалдаштыруу: кайталануучу слэштерди кысуу, тыюу салуу '../', бир жолу декоддоо, боштуктарды/нөл байттарды кесип салуу.
Heads: allow-list ('Host', 'Content-Type', 'Accept', 'Authorization', 'Date', 'Idempotency-Key', керектүү trace-heads).
Ыкмалары: 'GET/HEAD' денесиз; 'POST/PUT/PATCH' - 'application/json' түрү же катуу уруксат берилген.
Өлчөмдөрү: max-body, max-headers, max-path; early-reject 413/431.
Файлдар: MIME валидатор, антивирус/сандбокс, активдүү мазмунга тыюу салуу, сүрөттөрдү кайра карап чыгуу/санитайзер.
URL-жөнөтүү/FETCH: SSRF блогу (deny private ranges/metadata IP, схема гана 'https', домендердин тизмеси).
SQL/NoSQL үлгүлөрү: WAF rule-sets + Server параметрлөө суроо аркылуу инъекция белгилери.

Аталыштар саясатынын мисалы (псевдо-формат)


deny_headers: ["X-Forwarded-Proto","X-Original-URL","Proxy-Connection","Destination"]
require_headers: ["Authorization" (для protected), "Content-Type" (для write)]
strip_duplicates: true max_header_count: 32 max_header_size: 16KB

8) Лимиттер, квоталар жана анти-коргоо

Rate limiting: token-bucket/ leaky-bucket; деңгээл - per IP, per API key, per user, per org.
Quotas: күнүмдүк/айлык, write/expensive ыкмалары үчүн өзүнчө.
Adaptivity: динамикалык аномалиялар катуулатуу (sudden burst/credential stuffing).
Slow-loris/slow-POST: окуу/keep-alive убакыт, параллелдүү байланыштарды чектөө.
Antibot: device-fingerprint, жүрүм-турум белгилери, proof-of-work/капча жогорку тобокелдик, тор/прокси тармактарынын тизмеси.
IP-башкаруу: гео/ASN-чыпкалар, deny-барактар "кир" көмөкчордондор, өнөктөштөр/админ-панелдер үчүн allow-барактар.

9) Кирүү маалыматтарын жана схемаларын валидациялоо

Fail-closed: бардык схемасы өтөт - 400. Кошумча талаалар - четке кагуу.
Түрлөрү/диапазондору: сандар, даталар (UTC/ISO-8601), enum-баалуулуктар, саптардын узундуктары, регэксперлер.
JSON-сапаты: max-nesting, ири массивдерди/ачкычтарды тыюу, canonical order (кошумча).
Бизнес-валидация: 'Idempotency-Key' демпотенттүүлүгү; антифрод эрежелери (операциялардын жыштыгынын чектери, amount caps).
GraphQL: depth/complexity-лимиттери, allow-listed queries, per-field авторизациясы.
gRPC: катуу Protobuf схемалар, милдеттүү талаалар, билдирүүлөрдүн өлчөмүнүн чектери.

10) Webhooks жана тышкы чакырыктар

Кол тамгалар: Таймстам/nonce менен HMAC; иштетүүгө чейин текшерүү; терезе +/- 5 мин.
Жеткирүү: экспоненциалдык тыныгуу жана Jitter менен Retrais; max-аракет; окуя ID боюнча дедупликация.
IP allow-тизмеси жөнөтүүчү; өзүнчө поддомен/жол; минималдуу хостинг стек.
Жооптор: 2xx гана ийгиликтүү ички жазуу кийин; болбосо 4xx/5xx түшүнүктүү коду менен.
Чыгуучу SSRF контролдоо: callback URL - allow-list, жеке даректерге тыюу салуу.

11) Шифрлөө жана сырларды башкаруу

Каналда: TLS 1. 2+/1. 3, пиннинг, катуу шифр саясаты.
Тынч: DD/объект сактоо шифрлөө, PII/findains үчүн өзүнчө ачкычтар.
KMS/Vault: борборлоштурулган сыр сактоо, кыска TTL, автоматтык айлануу.
Ачкычтар жана сертификаттар: чөйрө үчүн өзүнчө; берүү аудити; логиге чыгууга тыюу салуу.
Token-introspection: offline-кайра карап чыгуу тизмелери (revocation), кыска 'exp'.

12) Байкоо, аудит жана жооп

Коопсуздук баракчалары: аутентификация аракеттери/ийгиликтери, авторизациядан баш тартуулар, rate-limit окуялар, ролдорду/лимиттерди өзгөртүү.
Trail: correlation-ID аркылуу; тышкы чалууларды издөө.
Метрика: RPS, P95/P99 latency, коддору боюнча error-rate, 401/403/429 үлүшү, hit-rate лимиттери, аномалиялар.
Alerts: 401/403/429 жарылуулар, 5xx өсүшү, тез-тез idempotency-чыр-чатактар, кескин четтөөлөрQL-complexity.
Playbooks: ачкычтарды/токендерди бөгөттөө, эрежелерди тез кайтаруу, дени-листти жылытуу, сервистердин ээлерине билдирүү.
Forensics: талаштуу payload сактоо (PII коопсуз редакторлоо менен), изоляцияланган стендде реплика.

13) Каталар жана кардарга жооптор

Каталардын бирдиктүү форматы (код, билдирүү, trace-id, категория).
Агып жок: SQL ачыкка жок, таблицалардын аттары, ички IDS; 403 ордуна "эмне үчүн так жок".
коддору: 400 (validation), 401 (эч кандай аутентификация), 403 (эч кандай укук), 404 (бар жашыруу), 405/406, 413/429, 500/503.
Retry-Hints: для 429 — `Retry-After`; демпотенттик үчүн - ошол эле ачкыч менен кайталоо боюнча кеңеш.

14) Архитектуралык үлгүлөр

Zero-Trust: mTLS, бардык кызматтардын ортосундагы так авторизация, минималдуу артыкчылыктар.
API-шлюз + WAF + сервис-меш: милдеттерди бөлүштүрүү - периметри, L7-саясаты, ички аутентификация.
Canary/Blue-Green: байкоо менен этап-этабы менен жаңы чыпкалоо эрежелерин чыгаруу.
Fail-closed: критикалык write үчүн - туура эмес операцияга жол бербегенге караганда коопсуз баш тартуу жакшы.
Backpressure: кезек/буферлер, circuit breaker, timeouts/budgets.

15) Практикалык эрежелердин мисалдары (псевдо- )

15. 1 Жолдорду жана ыкмаларды чектөө


/api/v1/payments:
allow_methods: [POST, GET]
auth: oauth2_required body:
content_type: application/json max_size: 256KB

15. 2 Демпотенттик


require_header: Idempotency-Key (UUIDv4)
store: redis:ttl=24h on_duplicate: return_previous_result

15. 3 Кол суроо (HMAC)


signature:
scheme: "HMAC-SHA256"
required_headers: ["X-Signature","X-Timestamp","X-Nonce"]
allowed_drift: 300s string_to_sign: METHOD + "\n" + PATH + "\n" + SHA256(body) + "\n" + X-Timestamp + "\n" + X-Nonce

15. 4 SSRF коргоо


outbound_http:
allowlist_domains: ["kyc. partner. com","psp. example. net"]
block_private_ip: true require_https: true

15. 5 GraphQL чеги


graphql:
max_depth: 8 max_complexity: 500 allowlisted_operations_only: true

16) iGaming/каржы өзгөчөлүктөрү

Сегменттик лимиттер: CUS/өлкө/тобокелдик профилине жараша болот.
Убактылуу терезелер: депозиттердин/чыгаруулардын жыштыгынын эрежелери, транзакциялардын ортосунда "муздатуу".
Анти-кыянаттык бонустар: эсеп/түзмөк/IP/төлөм куралы боюнча туруктуу бөгөт коюу.
Жөнгө салуучу талаптардын аудити: иш-аракеттердин жана чечимдердин логдорун сактоо (KYC/AML), ретеншн-мезгилдер, өзгөрүлбөгөн журналдар.

17) Prod-даярдык контролдук тизмеси

  • Толук API каталогу жана маалыматтар агымынын картасы (PII/каржы белгиленген).
  • OpenAPI/Protobuf схемалар, CI валидация тесттер жана келишимдер.
  • mTLS/HMAC/OAuth2 орнотулган; кыска TTL токендер; ачкычтарды айлантуу.
  • БАЛА-тесттер жана терс уруксат учурларда; борборлоштурулган PDP.
  • Лимиттер/квоталар/анти-бот, slow-loris коргоо; IP чыпкалар.
  • WAF/Gateway нормалдаштыруу эрежелери, анти-инъекция белгилери.
  • Write-бүтүмдөрдү аныктоо; replay коргоо.
  • Webhook кол тамгалар жана allow-list; обочолонгон endpoints.
  • KMS/Vault сырлары; шифрленген storajy; аномалияда аллергия.
  • Дашборддор, алерттер, аудит-логи; иштелип чыккан playbooks окуялар.
  • Үзгүлтүксүз Pentest/DAST/SAST, алсыздык жолдору жана деплой тактар.

18) Антипаттерндер (бул мүмкүн эмес)

Ишеним 'X-Forwarded-' Анын периметри боюнча катуу TLS терминдери жок.
Эркин 'Content-Type' жана "жумшак" JSON схемаларын кабыл алуу.
Узак мөөнөттүү JWT кайра чакыртып алуу/айлануу жок.
борборлоштурулган саясатсыз коддогу ролдорду жана бизнес-эрежелерди аралаштыруу.
Сырлар менен Логи/PII; толук 500-билдирүүлөр.
"Убактылуу" ачык эндпоинттер лимиттерсиз жана авторизациясыз.

19) Версиялоо жана депрекейт

Жолдогу/аталыштагы версиялар; колдоо саясаты (мисалы, N-2).
кулактандыруу: Депрекейт мөөнөтү, эски нускасын пайдалануу мониторинг, башкарылуучу өчүрүү.
Шайкештик: кардарлардын/өнөктөштөрдүн келишимдери жана тест-матрицалары.

20) Коопсуздук сыноо

Контракттык тесттер схемалар/саясат, fuzzing кирүү, терс auth.
Лимиттер/квоталар менен аткаруу профилдери, коргоону сыноо (chaos-трафик).
Red-team/bug-bounty: БАЛА сценарийлери, SSRF, кол тамгалар/репликалар, GraphQL-complexity.

TL; DR

1. API каталогу + катуу схемалар.
2. кардарлар үчүн OAuth2/OIDC, mTLS/HMAC ичинде.
3. Ар бир ресурстун БАЛА периметри (ABAC/RBAC).
4. Чыпкалоо: жолдорду/аталыштарды нормалдаштыруу, лимиттер, WAF эрежелери.
5. Демпотенттик, кол тамгалар, replay/SSRF коргоо.
6. KMS/Vault жана сырларды айлантуу.
7. байкоо, Алерт, playbooks.

Contact

Биз менен байланышыңыз

Кандай гана суроо же колдоо керек болбосун — бизге кайрылыңыз.Биз дайым жардам берүүгө даярбыз!

Telegram
@Gamble_GC
Интеграцияны баштоо

Email — милдеттүү. Telegram же WhatsApp — каалооңузга жараша.

Атыңыз милдеттүү эмес
Email милдеттүү эмес
Тема милдеттүү эмес
Билдирүү милдеттүү эмес
Telegram милдеттүү эмес
@
Эгер Telegram көрсөтсөңүз — Emailден тышкары ошол жактан да жооп беребиз.
WhatsApp милдеттүү эмес
Формат: өлкөнүн коду жана номер (мисалы, +996XXXXXXXXX).

Түшүрүү баскычын басуу менен сиз маалыматтарыңыздын иштетилишине макул болосуз.