אבטחת API — הדלת האחורית של אפליקציות מודרניות
צוות CyberHub · לפני 3 ימים · 1 דק׳ קריאה
TL;DR · בקצרה
אפליקציות מודרניות בנויות על APIs, והם הפכו ליעד מוביל. נסביר את הסיכונים הנפוצים (OWASP API Top 10) ואיך מתגוננים.
כל אפליקציה מודרנית (מובייל, web) מדברת עם השרת דרך API. וככל שה-APIs התרבו — הם הפכו ליעד תקיפה מועדף.
למה APIs פגיעים?
- הם חושפים לוגיקה ונתונים ישירות.
- לרוב מתועדים היטב (נוח לתוקף).
- מפתחים מתמקדים בפונקציונליות, לפעמים על חשבון אבטחה.
סיכונים נפוצים (OWASP API Top 10)
- Broken Object Level Authorization (BOLA/IDOR) — הסיכון #1. גישה לנתוני אחרים ע"י שינוי מזהה.
- Broken Authentication — אימות חלש או חסר.
- Excessive Data Exposure — ה-API מחזיר יותר מדי (האפליקציה מסננת בצד הלקוח, אבל הנתונים שם).
- Lack of Rate Limiting — מאפשר כוח גס ו-DoS.
- Mass Assignment — שינוי שדות שלא היו אמורים להיות ניתנים לעריכה (כמo
isAdmin=true).
הגנות
- בדיקת הרשאה בכל בקשה ברמת האובייקט (לא רק "מחובר?", אלא "מורשה לזה?").
- החזירו רק מה שצריך — סינון בצד השרת.
- Rate limiting ואימות חזק (tokens עם תפוגה).
- ולידציה קפדנית של כל קלט.
הלקח: ה-API הוא לב האפליקציה — והכי חשוף. אבטחת API היא לא "תוספת", היא הבסיס.
📚 מקורות והפניות
💬 תגובות (0)
התחברו כדי להגיב.
אין עדיין תגובות. היו הראשונים! 🙂
📘 עוד מדריך
אתיקה והאקינג חוקי — הקווים האדומים
ההבדל בין האקר אתי לפושע הוא רשות. נסביר את הגבולות החוקיים, מהי האקינג אתי, ולמה מוניטין הוא הנכס החשוב ביותר בתחום.
Red Team מול Blue Team — מי נגד מי בעולם הסייבר
בארגוני אבטחה יש 'תוקפים מטעם' (Red Team) ו'מגינים' (Blue Team), ולפעמים גם Purple שמחבר ביניהם. נסביר מה כל צד עושה ואיך בוחרים מסלול.
איך מזהים מייל פישינג (Phishing) ב-30 שניות
פישינג הוא ניסיון להתחזות (לבנק, לחברה, לחבר) כדי לגנוב פרטים או סיסמאות. רוב המיילים האלה מסגירים את עצמם בכמה סימנים פשוטים.