Skip to main content

V3.5.2 Token-based Session Management

Requirement:#

Verify the application uses session tokens rather than static API secrets and keys, except with legacy implementations.

Explanation:#

ΠšΠ»ΡŽΡ‡ΠΈ API ΡΠ²Π»ΡΡŽΡ‚ΡΡ прямыми, простыми ΠΈ ΠΏΠΎΠ»Π½ΠΎΡΡ‚ΡŒΡŽ ΠΏΡ€ΠΎΠ·Ρ€Π°Ρ‡Π½Ρ‹ΠΌΠΈ. Они Π½Π΅ ΠΏΡ€Π΅Π΄ΡΡ‚Π°Π²Π»ΡΡŽΡ‚ Π½ΠΈΠΊΠ°ΠΊΠΎΠΉ Π±Π°Π·ΠΎΠ²ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ, ΠΎΠ½ΠΈ Π½Π΅ ΡˆΠΈΡ„Ρ€ΡƒΡŽΡ‚ сСкрСтноС сообщСниС.Β Π­Ρ‚ΠΎ просто Π½Π΅Ρ‡ΠΈΡ‚Π°Π΅ΠΌΡ‹ΠΉ ΡƒΠ½ΠΈΠΊΠ°Π»ΡŒΠ½Ρ‹ΠΉ ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΡ€.

Remediation:#

1) API KEY

Π’ΠΎΡ‚ ΠΏΡ€ΠΈΠΌΠ΅Ρ€ общСдоступного ΠΊΠ»ΡŽΡ‡Π° API Π² javascript Π½Π° сторонС ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π°. Код Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΡ€ прилоТСния (app-id-BBRSSHR), ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ ΠΊΠ»ΡŽΡ‡ API (temp-search-key-ere452sdaz56qsjh565d), Ρ‡Ρ‚ΠΎΠ±Ρ‹ Ρ€Π°Π·Ρ€Π΅ΡˆΠΈΡ‚ΡŒ поиск.Β Π˜Π΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΡ€ прилоТСния относится ΠΊ ΠΎΠ΄Π½ΠΎΠΌΡƒ ΠΈΠ· Π²Π°ΡˆΠΈΡ… ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΡΠΊΠΈΡ… ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Π²Π΅Π±-сайту ΠΈΠ»ΠΈ слуТбС ΠΏΠΎΡ‚ΠΎΠΊΠΎΠ²ΠΎΠΉ ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡ΠΈ).Β ΠšΠ»ΡŽΡ‡ API являСтся Π²Ρ€Π΅ΠΌΠ΅Π½Π½Ρ‹ΠΌ ΠΈ Π½Π΅Π΄ΠΎΠ»Π³ΠΎΠ²Π΅Ρ‡Π½Ρ‹ΠΌ (срок дСйствия ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ истСкаСт Ρ‡Π΅Ρ€Π΅Π· ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½Ρ‹ΠΉ ΠΏΠ΅Ρ€ΠΈΠΎΠ΄ Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ), Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΡ‚ΡŒ Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€ΡƒΡŽ Π·Π°Ρ‰ΠΈΡ‚Ρƒ ΠΎΡ‚ Π½Π΅ΠΆΠ΅Π»Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎΠ³ΠΎ использования ΠΈΠ»ΠΈ злоупотрСблСния.

import { hitTemplate } from "./helpers";
const search = instantsearch({
appId: "app-id-BBRSSHR",
apiKey: "temp-search-key-ere452sdaz56qsjh565d",
indexName: "demo_ecommerce"
});

Π”Ρ€ΡƒΠ³ΠΎΠΉ ΠΏΡ€ΠΈΠΌΠ΅Ρ€: индСксированиС, для ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ трСбуСтся Π±ΠΎΠ»Π΅Π΅ бСзопасный ΠΊΠ»ΡŽΡ‡ API. Он ΠΈΠΌΠ΅Π΅Ρ‚ Ρ‚ΠΎΡ‚ ΠΆΠ΅ Ρ„ΠΎΡ€ΠΌΠ°Ρ‚ (Β 

+Β 

), Π½ΠΎ являСтся частным, ΠΏΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ скрыт ΠΎΡ‚ общСствСнности Π»ΠΈΠ±ΠΎ Π² скомпилированном ΠΊΠΎΠ΄Π΅, Π»ΠΈΠ±ΠΎ Π² Π·Π°Ρ‰ΠΈΡ‰Π΅Π½Π½ΠΎΠΉ Π±Π°Π·Π΅ Π΄Π°Π½Π½Ρ‹Ρ… Π½Π° вашСм сСрвСрС.Β Π˜Π΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΡ€ прилоТСния (Β 

) относится ΠΊ систСмС бэк-офиса.Β ΠšΠ»ΡŽΡ‡ API (Β 

) ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ постоянным ΠΊΠ»ΡŽΡ‡ΠΎΠΌ администратора, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ мСняСтся Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΎΠ΄ΠΈΠ½ Ρ€Π°Π· Π² Π³ΠΎΠ΄ для упрощСния обслуТивания.

use Algolia\AlgoliaSearch\SearchClient;
$client = SearchClient::create(
'YourApplicationID',
'YourAdminAPIKey'
);
$index = $client->initIndex('demo_ecommerce');
$index->saveObject(
[
'firstname' => 'Jimmie',
'lastname' => 'Barninger',
'city' => 'New York',
'objectID' => 'myID'
]
);

2) JWT TOKEN

Π’ΠΎΠΊΠ΅Π½Β JWTΒ β€” это большой Π½Π΅Ρ‡ΠΈΡ‚Π°Π΅ΠΌΡ‹ΠΉ Π½Π°Π±ΠΎΡ€ символов, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ содСрТит ΡΠΊΡ€Ρ‹Ρ‚ΡƒΡŽ ΠΈ Π·Π°ΠΊΠΎΠ΄ΠΈΡ€ΠΎΠ²Π°Π½Π½ΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ, Π·Π°ΠΌΠ°ΡΠΊΠΈΡ€ΠΎΠ²Π°Π½Π½ΡƒΡŽ подписью ΠΈΠ»ΠΈ Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠΎΠΌ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ. Он состоит ΠΈΠ· Ρ‚Ρ€Π΅Ρ… частСй: Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΊΠ°, Ρ‚Π΅Π»Π° ΠΈ подписи. Они Ρ€Π°Π·Π΄Π΅Π»Π΅Π½Ρ‹ Ρ‚ΠΎΡ‡ΠΊΠΎΠΉ:Β 

.

EZPZAAdsqfqfzeezarEUARLEA.sqfdqsTIYfddhtreujhgGSFJ.fkdlsqEgfdsgkerGAFSLEvdslmgIegeVDEzefsqd

Π—Π°Π³ΠΎΠ»ΠΎΠ²ΠΎΠΊ JWT содСрТит 

ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ:

{
"alg": "HS256",
"typ": "JWT"
​​}
{
"sub": "1234567890",
"name": "Π”ΠΆΠΎΠ½ Π”ΠΎΡƒ",
"iat": 1516239022
}

Additional:#

https://www.algolia.com/blog/engineering/api-keys-vs-json-web-tokens/

Edit this page