Lộ trình B?o m?t API

Hướng dẫn từng bước để trở thành một nhà phát triển Nhà phát triển B?o m?t API.

Quay lại trang chủ

Chú giải

Đề xuất

Lựa chọn thay thế

Tùy chọn

1 X�c th?c

Chung:

Tr�nh 'X�c th?c c? b?n', s? d?ng c�c giao th?c ti�u chu?n (v� d?: JWT, OAuth).

??ng ph�t minh l?i b�nh xe trong c�c c? ch? x�c th?c.

S? d?ng 'Th? l?i t?i ?a' v� t�nh n?ng kh�a trong ??ng nh?p.

S? d?ng m� h�a tr�n t?t c? d? li?u nh?y c?m.

JWT (JSON Web Token):

S? d?ng 'JWT Secret' t?t ?? g�y kh� kh?n cho c�c cu?c t?n c�ng brute force.

Kh�ng tr�ch xu?t thu?t to�n t? header; s? d?ng backend.

??t th?i gian h?t h?n token (TTL, RTTL) c�ng ng?n c�ng t?t.

Tr�nh l?u tr? d? li?u nh?y c?m trong payload c?a JWT.

Gi? payload nh? ?? gi?m k�ch th??c c?a token JWT.

OAuth:

Lu�n x�c th?c 'redirect_uri' ? ph�a m�y ch?.

Tr�nh 'response_type=token' v� c? g?ng ??i l?y code.

S? d?ng tham s? 'state' ?? ng?n ch?n c�c cu?c t?n c�ng CSRF.

C� m?t scope m?c ??nh v� x�c th?c scope cho m?i ?ng d?ng.

2 Ki?m so�t truy c?p

Gi?i h?n y�u c?u (throttling) ?? tr�nh c�c cu?c t?n c�ng DDoS / Brute Force.

S? d?ng HTTPS ? ph�a m�y ch? v� c�c b? m� h�a an to�n.

S? d?ng header HSTS v?i SSL ?? tr�nh c�c cu?c t?n c�ng SSL Strip.

T?t li?t k� th? m?c.

API ri�ng t? ch? n�n ???c truy c?p t? c�c IP trong danh s�ch tr?ng.

3 ??u v�o & X? l�

X�c th?c ??u v�o:

S? d?ng c�c ph??ng th?c HTTP ph� h?p cho ho?t ??ng (GET, POST, PUT, DELETE).

X�c th?c 'content-type' tr�n header c?a y�u c?u.

X�c th?c ??u v�o c?a ng??i d�ng ?? tr�nh c�c l? h?ng ph? bi?n (v� d?: XSS, SQLi).

S? d?ng header Authorization ti�u chu?n cho d? li?u nh?y c?m.

S? d?ng d?ch v? API Gateway ?? b?t b? nh? ??m v� gi?i h?n t?c ??.

X? l� & ??u ra:

Ch? s? d?ng m� h�a ph�a m�y ch?.

?u ti�n s? d?ng UUID h?n l� ID t? t?ng trong URL t�i nguy�n.

T?t ph�n t�ch th?c th? n?u b?n ?ang ph�n t�ch XML ?? tr�nh c�c cu?c t?n c�ng XXE.

S? d?ng CDN ?? t?i t?p l�n.

T?t ch? ?? g? l?i trong m�i tr??ng s?n xu?t.

G?i header 'X-Content-Type-Options: nosniff'.

G?i header 'X-Frame-Options: deny'.

G?i header 'Content-Security-Policy: default-src 'none''.

X�a c�c header nh?n d?ng (v� d?: X-Powered-By).

B?t bu?c 'content-type' cho ph?n h?i c?a b?n.

Tr�nh tr? v? d? li?u nh?y c?m (th�ng tin x�c th?c, token b?o m?t, v.v.).

Tr? v? m� ph?n h?i ph� h?p theo ho?t ??ng.

4 CI & CD

Ki?m tra thi?t k? v� tri?n khai c?a b?n b?ng c�c b�i ki?m tra ??n v?/t�ch h?p.

S? d?ng quy tr�nh xem x�t m� v� kh�ng ch?p nh?n t? ph� duy?t.

Li�n t?c ch?y ph�n t�ch b?o m?t tr�n m� c?a b?n.

Ki?m tra c�c ph? thu?c c?a b?n ?? t�m c�c l? h?ng ?� bi?t.

Thi?t k? m?t gi?i ph�p kh�i ph?c cho c�c l?n tri?n khai.

5 Gi�m s�t

S? d?ng ??ng nh?p t?p trung cho t?t c? c�c d?ch v? v� th�nh ph?n.

S? d?ng c�c t�c nh�n ?? gi�m s�t t?t c? c�c y�u c?u, ph?n h?i v� l?i.

S? d?ng c?nh b�o cho SMS, Slack, Email, Kibana, Cloudwatch, v.v.

??m b?o r?ng b?n kh�ng ghi nh?t k� b?t k? d? li?u nh?y c?m n�o.

S? d?ng h? th?ng IDS v�/ho?c IPS ?? gi�m s�t m?i th?.