akzqwe Jun 9 2022 at 10:30

Защищаем API – что важно знать?

12 min

14K

Angara Security corporate blogInformation Security*API*

+11

Comments 14

GeorgeIV Jun 9 2022 at 12:02

Все интересно, но пример с чипсами непонятен. Откуда взялось 300? количество 5 стоит для id=0, а чипсы это id=1. И тут либо 1 и 100 рублей или -1 и вообще лажа (возврат что-ли?).

akzqwe Jun 9 2022 at 13:35

Благодарю за комментарий, расписал более подробнее механизм парсеров в примере.

GeorgeIV Jun 9 2022 at 14:00

С 300 теперь понятно. Но вопрос по количеству остался - 5 штук для id=0 (которое вроде не чипсы), а для чипсов (id=1) количество или 1 или -1. Вот тут у меня не срастается логика.

akzqwe Jun 9 2022 at 14:11

Обновил, была ошибка про два добавляемых объекта.

GeorgeIV Jun 9 2022 at 14:18

Теперь Ок! Спасибо

warhamster Jun 10 2022 at 14:14

Я чего-то не догоняю: а не пофиг ли вообще, как там распарсит парсер? Любые входные данные все равно будут проверяться бизнес-логикой. Скажем, в примере с пачкой чипсов возможность ставить отрицательное количество товара (если таковая вообще есть в принципе) будет зависеть как минимум от роли пользователя.

И это со всеми примерами так: не взломав авторизацию, ими не воспользуешься, а если взломать - так они уже и не нужны.

GeorgeIV Jun 10 2022 at 15:14

Не совсем так. Исходный json подменить может любой. И если в компании разные службы обслуживаются разными (микро)сервисами, то вполне возможна такая ситуация. Тут уж зависит от уровня квалификации разработчиков.

warhamster Jun 10 2022 at 15:56

Все равно не совсем понятно. Можно подробнее пример взаимодействия, когда разработчики этих разных сервисов не совсем уж тупые джуны и чуть-чуть думают о входных данных?

osigida Jun 11 2022 at 22:33

нет, потому что если разрабы не тупые джуны, они никому не доверяют, даже соседнему сервису (где вполне могут сидеть тупые джуны)

akzqwe Jun 14 2022 at 21:29

Такое вполне возможно, когда сервис платежной системы используется "готовый" и интегрируется в существующее веб-приложение.

GeorgeIV Jun 10 2022 at 16:20

Могу, но это не совсем корректно. Знаю разработчиков, которые в принципе считают, что проверка входных данных не их забота.

Kowalski42 Jun 14 2022 at 11:46

В строке "HTTP-методы GET, POST, UPDATE и DELETE информируют сервер о том, какое действие нужно совершить над данным ресурсом" нужно бы UPDATE изменить на PATCH, ибо нет такого HTTP-метода как UPDATE.

akzqwe Jun 14 2022 at 21:28

Благодарю - поправил.

mayorovp Jul 20 2022 at 14:17

Забавно, что большинство перечисленных тут уязвимостей являются не прямыми ошибками, а способами обойти WAF и подобные технологии. И вот для защиты от них-то и предлагается WAF…