books/The-API-Book
1
0
Fork 0
mirror of https://github.com/twirl/The-API-Book.git synced 2025-05-25 22:08:06 +02:00
Code Issues Releases Activity

Note on OWASP API Security

Browse Source
This commit is contained in:
Sergey Konstantinov 2023-07-02 15:48:39 +03:00
parent 4fcc0a228b
commit c14a6267a0
2 changed files with 5 additions and 1 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

4
src/en/clean-copy/02-Section I. The API Design/05.md
View File

@ -873,7 +873,9 @@ If the author of this book were given a dollar each time he had to implement an
**Second**, assuming oneself to be an expert in security is presumptuous and dangerous. New attack vectors emerge daily, and staying fully aware of all actual threats is a full-time job. If you do something different during workdays, the security system you design will contain vulnerabilities that you have never heard about — for example, your password-checking algorithm might be susceptible to a [timing attack](https://en.wikipedia.org/wiki/Timing_attack) or your webserver might be vulnerable to a [request splitting attack](https://capec.mitre.org/data/definitions/105.html).
Just in case: all APIs must be provided over TLS 1.2 or higher (preferably 1.3).
The OWASP Foundation compiles a list of the most common vulnerabilities in APIs every year, which we strongly recommend studying.
And just in case: all APIs must be provided over TLS 1.2 or higher (preferably 1.3).
##### Help Partners With Security

2
src/ru/clean-copy/02-Раздел I. Проектирование API/05.md
View File

@ -872,6 +872,8 @@ X-Idempotency-Token: <токен>
**Во-вторых**, чрезвычайно самонадеянно (и опасно) считать, что вы разбираетесь в вопросах безопасности. Новые вектора атаки появляются каждый день, и быть в курсе всех актуальных проблем — это само по себе работа на полный рабочий день. Если же вы полный рабочий день занимаетесь чем-то другим, спроектированная вами система защиты наверняка будет содержать уязвимости, о которых вы просто никогда не слышали — например, ваш алгоритм проверки паролей может быть подвержен [атаке по времени](https://en.wikipedia.org/wiki/Timing_attack), а веб-сервер — [атаке с разделением запросов](https://capec.mitre.org/data/definitions/105.html).
Фонд OWASP каждый год [составляет список самых распространённых уязвимостей в API](https://owasp.org/www-project-api-security/), который мы настоятельно рекомендуем изучить.
Отдельно уточним: любые API должны предоставляться строго по протоколу TLS версии не ниже 1.2 (лучше 1.3).
##### Помогайте партнёрам не изобретать безопасность