V13.1.3 Generic Web Service Security

Requirement:#

Verify API URLs do not expose sensitive information, such as the API key, session tokens etc.

Explanation:#

Строка запроса для URL-адреса может быть сохранена в истории браузера, передана через Referers на другие веб-сайты, сохранена в веб-журналах или иным образом записана в других источниках. Если строка запроса содержит конфиденциальную информацию, такую как идентификаторы сеанса, злоумышленники могут использовать эту информацию для запуска дальнейших атак.

Remediation:#

Устранение проблемы безопасности, связанной с раскрытием конфиденциальной информации в URL-адресах API, заключается в реализации надлежащей обработки и защиты конфиденциальных данных. Вот несколько шагов, которые можно предпринять для достижения этой цели:

Проведите проверку всех URL-адресов API, чтобы выявить любые случаи раскрытия конфиденциальной информации.
Храните конфиденциальную информацию, такую как ключи API и токены сеанса, в безопасных местах, таких как файл конфигурации или переменные среды, а не жестко запрограммированные в URL-адресе API.
Используйте безопасные протоколы связи, такие как HTTPS, для шифрования всех данных, передаваемых между клиентом и сервером.
Внедрите надлежащие элементы управления аутентификацией и авторизацией, чтобы гарантировать, что только авторизованные пользователи могут получить доступ к конфиденциальной информации.
Проверяйте все входные данные API, чтобы убедиться, что не отправляются вредоносные данные, такие как инъекции SQL или атаки с использованием межсайтовых сценариев.
Регулярно проверяйте приложение на наличие любых признаков раскрытия конфиденциальной информации и обновляйте план исправления по мере необходимости, чтобы опережать возникающие угрозы.
Предоставьте обучение по безопасности и ресурсы для всех разработчиков и пользователей приложения, чтобы убедиться, что все понимают важность защиты конфиденциальной информации и то, как это делать правильно.

Вот простой пример исправления кода в Python для упомянутой ранее проблемы безопасности: Предположим, у вас есть конечная точка API, которая в настоящее время предоставляет ключ API в URL-адресе:

http://api.example.com/data?api_key=abc123

Чтобы предотвратить раскрытие ключа API в URL-адресе, вы можете изменить код следующим образом:

import os
import requests

API_KEY = os.environ.get("API_KEY")

def get_data():
    response = requests.get(f"http://api.example.com/data", headers={"Authorization": f"Bearer {API_KEY}"})
    response.raise_for_status()
    return response.json()

В этом примере ключ API хранится в переменной среды, а не жестко закодирован в коде или представлен в URL-адресе. Код использует библиотеку запросов для выполнения запроса API, передавая ключ API в заголовке авторизации, а не в качестве параметра запроса в URL-адресе. Это помогает гарантировать, что ключ API не отображается в URL-адресе и защищен безопасным соединением, обеспечиваемым HTTPS. Опять же, это всего лишь простой пример, и фактический процесс исправления может включать более сложные изменения кода, такие как добавление дополнительных проверок безопасности, реализация ограничения скорости или очистка входных данных, в зависимости от специфики приложения и политик безопасности организации.

Additional:#

CWE-598: Use of GET Request Method With Sensitive Query Strings