From c14a6267a0559abc05c3da8b6ffca1d82a2103da Mon Sep 17 00:00:00 2001 From: Sergey Konstantinov Date: Sun, 2 Jul 2023 15:48:39 +0300 Subject: [PATCH] Note on OWASP API Security --- src/en/clean-copy/02-Section I. The API Design/05.md | 4 +++- src/ru/clean-copy/02-Раздел I. Проектирование API/05.md | 2 ++ 2 files changed, 5 insertions(+), 1 deletion(-) diff --git a/src/en/clean-copy/02-Section I. The API Design/05.md b/src/en/clean-copy/02-Section I. The API Design/05.md index 42c5c2c..e2eac66 100644 --- a/src/en/clean-copy/02-Section I. The API Design/05.md +++ b/src/en/clean-copy/02-Section I. The API Design/05.md @@ -873,7 +873,9 @@ If the author of this book were given a dollar each time he had to implement an **Second**, assuming oneself to be an expert in security is presumptuous and dangerous. New attack vectors emerge daily, and staying fully aware of all actual threats is a full-time job. If you do something different during workdays, the security system you design will contain vulnerabilities that you have never heard about — for example, your password-checking algorithm might be susceptible to a [timing attack](https://en.wikipedia.org/wiki/Timing_attack) or your webserver might be vulnerable to a [request splitting attack](https://capec.mitre.org/data/definitions/105.html). -Just in case: all APIs must be provided over TLS 1.2 or higher (preferably 1.3). +The OWASP Foundation compiles a list of the most common vulnerabilities in APIs every year, which we strongly recommend studying. + +And just in case: all APIs must be provided over TLS 1.2 or higher (preferably 1.3). ##### Help Partners With Security diff --git a/src/ru/clean-copy/02-Раздел I. Проектирование API/05.md b/src/ru/clean-copy/02-Раздел I. Проектирование API/05.md index 169bc7b..bebb2da 100644 --- a/src/ru/clean-copy/02-Раздел I. Проектирование API/05.md +++ b/src/ru/clean-copy/02-Раздел I. Проектирование API/05.md @@ -872,6 +872,8 @@ X-Idempotency-Token: <токен> **Во-вторых**, чрезвычайно самонадеянно (и опасно) считать, что вы разбираетесь в вопросах безопасности. Новые вектора атаки появляются каждый день, и быть в курсе всех актуальных проблем — это само по себе работа на полный рабочий день. Если же вы полный рабочий день занимаетесь чем-то другим, спроектированная вами система защиты наверняка будет содержать уязвимости, о которых вы просто никогда не слышали — например, ваш алгоритм проверки паролей может быть подвержен [атаке по времени](https://en.wikipedia.org/wiki/Timing_attack), а веб-сервер — [атаке с разделением запросов](https://capec.mitre.org/data/definitions/105.html). +Фонд OWASP каждый год [составляет список самых распространённых уязвимостей в API](https://owasp.org/www-project-api-security/), который мы настоятельно рекомендуем изучить. + Отдельно уточним: любые API должны предоставляться строго по протоколу TLS версии не ниже 1.2 (лучше 1.3). ##### Помогайте партнёрам не изобретать безопасность