API howpsuzlygy we süzgüç soraglary
1) Bu näme üçin zerur?
API - platformanyň daşarky we içki serhedi. Soraglary tassyklamakda, ygtyýarlandyrmakda, tassyklamakda ýa-da kadalaşdyrmakda ýüze çykýan islendik ýalňyşlyk gowşak goralanlyklaryň ulanylmagyna öwrülýär (BOLA/IDOR, injection, SSRF, köpçülikleýin artykmaç, resurs tükeniksizligi). Maksat: ölçenen SLO we töwekgelçiliklere gözegçilik etmek bilen perimetrden işewürlik düzgünlerine çenli köp derejeli goragy (defense-in-depth) döretmek.
2) API-ni hasaba almak we klassifikasiýa etmek
API katalogy: ähli hyzmatlaryň/endpointleriň sanawy, müşderileriň eýeleri, wersiýalary, görnüşleri (web, ykjam, hyzmatdaşlar), re regimeim (jemgyýetçilik/hyzmatdaş/içerki), PII/maliýe maglumatlary.
Kritiklik: Ýokary (maliýe amallary/ygtyýarnama), Orta (profili okamak), Pes (köpçülige açyk gollanmalar).
Hüjümiň ýüzi: REST, GraphQL, gRPC, WebSocket, webhooks.
Status: prod/staging/experimental, deprekeýt syýasaty, tokenleriň/açarlaryň ömri.
Şadow/taşlanan API: loglaryň, eBPF/Service Mesh telemetriýasynyň üsti bilen tapmak, katalog bilen deňeşdirmek.
3) Howplaryň nusgasy (gysgaça)
Şahsyýet: bellikleri ogurlamak, sessiýany düzetmek, MitM, replay.
Awtorlaşdyrmak: BOLA/IDOR, gorizontal/dik eskalasiýa.
Giriş: sanjymlar (SQL/NoSQL/LDAP), şablon/serilizasiýa, path traversal, sözbaşylar.
Traffik: DDoS/L7-fludlar, haýal soraglar, fantom retrailer.
Integrasiýalar: howpsuz webhooks, URL parametrleri, faýllar/skanlar arkaly SSRF.
Logika: bonuslardan hyýanatçylykly peýdalanmak, ýaryşlar, deňsizlik.
4) Howpsuzlygyň esasy standarty (iň az)
1. TLS 1. 2 + hemme ýerde; HSTS; gowşak şifrler öçürildi.
2. Tassyklamak: Müşderiler üçin OAuth2/OIDC, mTLS/ýa-da HMAC - hyzmat-k-hyzmaty.
3. Awtorizasiýa: merkezleşdirilen PDP (RBAC/ABAC), obýekt derejesinde barlag (BOLA).
4. Tassyklama: berk shema (OpenAPI/JSON Schema/Protobuf), gereksiz meýdanlarda ret.
5. Çäklendirmeler: rate/quotas + burst, per-müşderi/per-IP/per-token.
6. Write-amallarda idempotentlik, gaýtalanmalardan/ýaryşlardan goramak.
7. WAF/geýtweý-süzgüç: ýollaryň/sözbaşylaryň kadalaşmagy, deny-listler, payload-anti-pattern bloky.
8. Syrlar: KMS/Vault, açarlaryň/şahadatnamalaryň aýlanmagy, syzdyryş gözegçiligi.
9. Gözegçilik edilişi: trasing, howpsuzlyk audit-logleri (kim/näme/haçan/netije), alertler.
10. Amallar: wakalaryň playbook, synag ýagdaýlary we yzygiderli pentests/DAST.
5) Bellikleri tassyklamak we dolandyrmak
OAuth2/OIDC: gysga ömürli access-tokenler, OIDC-e laýyklykda refresh; audience/issuer/exp geýweýde barlanýar.
JWT: RS256/ES256; iň az kleým toplumy; 'nbf/exp/aud' hökmany; PII saklamagy gadagan etmek. JWKS arkaly açarlary aýlamak.
DPoP/PoP: replay/ogurlyk töwekgelçiligini azaltmak üçin belligi müşderiniň açaryna baglanyşdyrmak.
Içerki ulgamlar we ynamdar hyzmatdaşlar üçin mTLS (CN/SAN, CRL/OCSP boýunça attestasiýa).
HMAC (gollar): kesgitlenen kanonikalizasiýa (usul + ýol + timestamp + nonce + body-hash); rugsat berilýän wagt penjiresi (± 300s).
Brauzer sessiýalary: SameSite = strict/lax, HttpOnly, Secure; CSRF-den goramak (double submit/state-tokenler).
Müşderileriň ammary: mobilde - howpsuz ammarlar (Keychain/Keystore), debagdan goramak, şahadatnamalary pinning.
6) Ygtyýarnama (BOLA-first)
Object-level: her amal belli bir çeşmä bolan hukugy barlaýar (resource owner/scope/atributlar).
RBAC/ABAC: rollar + atributlar (ýurt, segment, töwekgelçilik çäkleri, KYC-derejesi).
Syýasatlar: deny-by-default; aç-açan allow; syýasatlary wersiýalaşdyrmak; negatiw ýagdaýlar üçin synaglar.
Çözgütler bukjasy: rollar/segmentler üýtgän mahaly uýgunlaşdyrylan TTL + maýyplyk.
7) Süzgüç we soraglary kadalaşdyrmak (geýtweýde/WAF)
Kadalaşma: gaýtalanýan sleşleri gysmak, gadaganlyk '../', bir gezek kodlamak, boşluklary/nol-baýtlary kesmek.
Sözbaşylar: allow-list ('Host', 'Content-Type', 'Accept', 'Authorization', 'Date', 'Idempotency-Key', zerur trace-sözbaşylar).
Usullar: 'GET/HEAD' bedensiz; 'POST/PUT/PATCH' - 'application/json' görnüşi ýa-da berk rugsat berlen.
Ölçegleri: max-body, max-headers, max-path; early-reject 413/431.
Faýllar: MIME walidator, antivirus/sandbox, işjeň mazmuny gadagan etmek, şekilleri gaýtadan işlemek/arassalamak.
URL-ugrukdyrmalar/fetçi: SSRF blogy (deny private ranges/metadata IP, shema diňe 'https', allow-list domenleri).
SQL/NoSQL-patternleri: WAF rule-sets arkaly sanjym alamatlary + soraglaryň serwer parametrizasiýasy.
Sözbaşy syýasatynyň mysaly (psevdo-format)
deny_headers: ["X-Forwarded-Proto","X-Original-URL","Proxy-Connection","Destination"]
require_headers: ["Authorization" (для protected), "Content-Type" (для write)]
strip_duplicates: true max_header_count: 32 max_header_size: 16KB8) Çäkler, kwotalar we antibot goragy
Rate limiting: token-bucket/ leaky-bucket; derejeler - per IP, per API key, per user, per org.
Quotas: write/expensive usullary üçin aýratyn gündelik/aýlyk.
Uýgunlaşma: anomaliýalarda dinamiki berkitme (sudden burst/credential stuffing).
Slow-loris/slow-POST: okamak/keep-alive wagtlary, paralel birikmeleriň çäklendirilmegi.
Antibot: device-fingerprint, özüni alyp baryş alamatlary, proof-of-work/kapça ýokary töwekgelçilik, tor/proxy-torlaryň sanawy.
IP-gözegçilik: geo/ASN-süzgüçler, "hapa" kiçi torlaryň deny-listleri, hyzmatdaşlar/dolandyryş panelleri üçin allow-listler.
9) Giriş maglumatlaryny we shemalaryny tassyklamak
Fail-closed: shema geçmeýän hemme zat - 400. Goşmaça meýdanlar - ret etmek.
Görnüşleri/diapazonlary: sanlar, seneler (UTC/ISO-8601), enum-gymmatlyklar, setirleriň uzynlygy, regekspler.
JSON-hil: max-nesting, uly massiwleri/açarlary gadagan etmek, canonical order (goşmaça).
Işewürlik-tassyklama: 'Idempotency-Key' boýunça idempotentlik; anti-frod düzgünleri (amallaryň ýygylygynyň çäkleri, amount caps).
GraphQL: depth/complexity-limits, allow-listed queries, per-field authorization.
gRPC: berk Protobuf shemalary, hökmany meýdanlar, habarlaryň ululygynyň çäkleri.
10) Webhooks we daşarky jaňlar
Gollar: Taýtstamply/nonce HMAC; gaýtadan işlemeginden öň barlamak; penjire +/- 5 minut.
Eltip bermek: eksponensial arakesme we jitter bilen retralar; max-synanyşyk; wakanyň ID-si boýunça duplikasiýa.
IP allow-list üpjün ediji; aýratyn alt domen/ýol; iň az hosting steki.
Jogaplar: 2xx diňe üstünlikli içerki ýazgydan soň; ýogsam 4xx/5xx düşnükli kody bilen.
Gidýän SSRF-gözegçilik: callback URL - allow-list, hususy salgylaryň gadagan edilmegi.
11) Şifrlemek we syrlary dolandyrmak
Kanalda: TLS 1. 2+/1. 3, pinning, berk şifrler syýasaty.
Dynç alyş: DB/obýekt ammaryny şifrlemek, PII/findanlar üçin aýratyn açarlar.
KMS/Vault: merkezleşdirilen syrlary saklamak, gysga TTL, awtomatiki aýlanmak.
Açarlar we şahadatnamalar: daşky gurşaw üçin aýratyn; berişleriň barlagy; Giriş gadaganlygy.
Token-introspection: offline-seslenme sanawlary (revocation), gysga 'exp'.
12) Gözegçilik, audit we jogap bermek
Howpsuzlyk loglary: autentifikasiýa synanyşyklary/üstünlikleri, ygtyýarlylaşdyrmakdan ýüz öwürmeler, rate-limit wakalary, rollaryň/çäkleriň üýtgemegi.
Tracking: correlation-ID geçişi; daşarky jaňlar.
Metrikler: RPS, P95/P99 latency, kodlar boýunça error-rate, 401/403/429 paýy, hit-rate çäkleri, anomaliýalar.
Alertler: 401/403/429 partlamalary, 5xx beýikligi, ýygy-ýygydan idempotency-gapma-garşylyklar, QL-complexity graflarynyň ýiti gyşarmalary.
Playbooks: açarlary/bellikleri petiklemek, düzgünleri çalt yzyna gaýtarmak, deny sanawyny gyzdyrmak, hyzmat eýelerine habar bermek.
Forensika: jedelli payload (PII howpsuz redaktirlemek bilen), izolirlenen stendde repleýleri saklamak.
13) Müşderä berlen ýalňyşlyklar we jogaplar
Hatalaryň ýeke-täk görnüşi (kod, habar, trace-id, kategoriýa).
Syzdyrmazdan: SQL, tablisalaryň atlaryny, içerki aidleri aýan etmäň; 403 ýerine "näme üçin beýle däl".
Kodlar: 400 (tassyklama), 401 (tassyklama ýok), 403 (hukuk ýok), 404 (barlygyny gizlemek), 405/406, 413/429, 500/503.
Retry-Hints: для 429 — `Retry-After`; idempotentlik üçin - şol bir açar bilen gaýtalamak boýunça maslahat.
14) Binagärlik nusgalary
Zero-Trust: mTLS, ähli hyzmatlaryň arasynda aç-açan ygtyýarnama, iň az artykmaçlyklar.
API-şlýuz + WAF + hyzmat-mesh: borçlaryň bölünişi - perimetr, L7-syýasatlar, içerki tassyklama.
Canary/Blue-Green: süzmegiň täze düzgünlerini synlamak bilen tapgyrlaýyn çykaryň.
"Fail-closed": möhüm write üçin nädogry amallara ýol bermekden howpsuz ýüz öwürmek has gowudyr.
Backpressure: nobatlar/buferler, circuit breaker, timeouts/budgets.
15) Amaly düzgünleriň mysallary (psevdo- )
15. 1 Ýollaryň we usullaryň çäklendirilmegi
/api/v1/payments:
allow_methods: [POST, GET]
auth: oauth2_required body:
content_type: application/json max_size: 256KB15. 2 Idempotentlik
require_header: Idempotency-Key (UUIDv4)
store: redis:ttl=24h on_duplicate: return_previous_result15. 3 Haýyşnamanyň goly (HMAC)
signature:
scheme: "HMAC-SHA256"
required_headers: ["X-Signature","X-Timestamp","X-Nonce"]
allowed_drift: 300s string_to_sign: METHOD + "\n" + PATH + "\n" + SHA256(body) + "\n" + X-Timestamp + "\n" + X-Nonce15. 4 SSRF goragy
outbound_http:
allowlist_domains: ["kyc. partner. com","psp. example. net"]
block_private_ip: true require_https: true15. 5 GraphQL çägi
graphql:
max_depth: 8 max_complexity: 500 allowlisted_operations_only: true16) iGaming/Maliýe aýratynlyklary
Segment çäkleri: YKC/ýurt/töwekgelçilik profiline baglydyr.
Wagtlaýyn penjireler: goýumlaryň/çykarmalaryň ýygylygynyň düzgünleri, geleşikleriň arasynda "sowamak".
Anti-hyýanat bonuslary: hasabyňyza/enjamyňyza/IP/töleg guralyna tutanýerli blokirlemeler.
Düzgünleşdirijileriň talaplarynyň barlagy: hereketleriň we çözgütleriň ýazgylarynyň saklanylmagy (KYC/AML), retenşn-döwürler, üýtgemeýän žurnallar.
17) Prod-taýynlygyň gözegçilik sanawy
- Doly API katalogy we maglumat akym kartasy (PII/maliýe bellikleri).
- OpenAPI/Protobuf-shemalary, tassyklama synaglary we CI şertnamalary.
- mTLS/HMAC/OAuth2 sazlandy; gysga TTL bellikleri; açarlaryň aýlanmagy.
- BOLA-synaglar we ygtyýarlylygyň negatiw ýagdaýlary; merkezleşdirilen PDP.
- Çäklendirmeler/kwotalar/anti-bot, slow-loris goragy; IP süzgüçleri.
- WAF/geýtweý kadalary, anti-sanjym alamatlary.
- Write-amallaryň meňzeşligi; replay goragy.
- Webhook-gollar we allow-list; izolirlenen endpoints.
- KMS/Vault-daky syrlar; şifrlenen storajlar; anomaliýalarda alertler.
- Dashbordlar, alertler, audit-loglar; tamamlanan playbooks hadysalary.
- Yzygiderli pentest/DAST/SAST, gowşaklyk ýollary we ýamalar.
18) Antipatternler (näme mümkin däl)
'X-Forwarded-' perimetriňizde TLS gaty terminasiýasy bolmazdan.
"Content-Type" we "ýumşak" JSON shemalaryny kabul ediň.
Uzak ömürli JWT yzyna alynmazdan/aýlanmazdan.
Merkezleşdirilen syýasatsyz kodda rollary we işewürlik düzgünlerini garyşdyrmak.
Syr ýazgylary/PII; 500-den daşary jikme-jik habarlar.
Çäklendirmesiz we ygtyýarnamasyz "wagtlaýyn" açyk endpointler.
19) Wersiýalaşdyrmak we deprekeýt
Ýolda/sözbaşyda wersiýalary; goldaw syýasaty (mysal üçin N-2).
Bildirişler: deprekeýtiň möhletleri, köne wersiýalaryň ulanylyşyna gözegçilik etmek, dolandyrylýan ýapmak.
Laýyklyk: müşderileriň/hyzmatdaşlaryň şertnamalary we synag-matritsalary.
20) Howpsuzlygy barlamak
Shemalaryň/syýasatlaryň şertnama synaglary, girişleriň fuzzing, negative auth.
Çäkleri/kwotalary bolan çykyş profilleri, gorag synagy (chaos-trafik).
Red-team/bug-bounty: BOLA, SSRF, gollar/göçürmeler, GraphQL-complexity ssenarileri.
TL; DR
1. API katalogy + berk shemalar.
2. Müşderiler üçin OAuth2/OIDC, içinde mTLS/HMAC.
3. Her çeşme üçin BOLA-perimetri (ABAC/RBAC).
4. Süzgüç: ýollaryň/sözbaşylaryň kadalaşmagy, çäkler, WAF düzgünleri.
5. Idempotentlik, gollar, replay/SSRF-den gorag.
6. KMS/Vault we syrlaryň aýlanmagy.
7. Syn ediliş, aladalar, playbooks.