(中文版请戳这:中文版)
Checklist met de belangrijkste tegenmaatregelen bij het ontwerpen, testen en uitbrengen van een API.
- Gebruik geen
Basic Auth
Gebruik industrie standaarden (v.b. JWT, OAuth). - Vind het wiel niet opnieuw uit voor
Authenticatie
,Genereren van Tokens
enOpslaan van Wachtwoorden
. Gebruik de standaarden.
- Gebruik random ingewikkelde keys (
JWT Secret
) om brute forcing lastiger te maken. - Haal het algoritme niet uit de payload. Dwing het algoritme af in de backend (
HS256
orRS256
). - Zet de token vervaltijd (
TTL
,RTTL
) zo kort mogelijk. - Sla geen gevoelige data op in de JWT payload, deze is makkelijk te decoden.
- Valideer ALTIJD de
redirect_uri
op de server om alleen toegestane URL te accepteren. - Probeer alijd een exchange voor code, niet voor tokens (sta
response_type=token
niet toe). - Gebruik de
state
parameter met een random hash om CSRF op een OAuth authentication process te voorkomen. - Defineer een standaard scope, en valideer deze scope parameter voor elke applicatie.
- Limiteer het aantal requests om DDoS en/of Bruteforce aanvallen te ontkrachten.
- Gebruik HTTPS aan de server zijde om MITM (Man In The Middle Attacks) tegen te gaan.
- Gebruik de
HSTS
header i.c.m SSL om een SSL Strip attack te ontkrachten.
- Gebruik de correcte HTTP methode voor de operatie ,
GET (lezen)
,POST (schrijven)
,PUT (vervangen/updaten)
andDELETE (verwijderen)
. - Valideer de
content-type
header bij een request Accept header ( Content Negotiation ) om alleen de ondersteunde formats toe te staan (e.g.application/xml
,application/json
... etc) een stuur een406 Not Acceptable
response als decontent-type
niet ondersteund is. - Valideer de
content-type
header van gestuurde data (e.g.application/x-www-form-urlencoded
,multipart/form-data ,application/json
... etc ). - Valideer de gebruiker invoer om veel voorkomende kwetsbaarheden te voorkomen (v.b.
XSS
,SQL-Injection
,Remote Code Execution
... etc). - Gebruik geen gevoelige data (
credentials
,Wachtwoorden
,security tokens
, ofAPI keys
) in de URL, maar gebruik de standaar Authorization header.
- Controleer dat alle endpoints zijn beschermd achter de authenticatie om broken authentication te voorkomen.
- Gebruik
/me/orders
i.p.v./user/654321/orders
om het 'lekken' van id's te voorkomen. - Gebruik geen auto increment id's in plaats daarvan gebruik
UUID
. - Als je XML files parsed, controleer dat entity parsing niet aan staat om
XXE
(XML external entity attack) te voorkomen. - Als je XML files parsed, controleer dat entity expansion niet aan staat om
Billion Laughs/XML bomb
te voorkomen viaexponential entity expansion attack
. - Gebruik CDN voor het uploaden van bestanden.
- Als er met grote/mega hoeveelheden data gewerkt wordt, gebruik dan Workers en Queues om snel een response te geven en HTTP Blocking te voorkomen.
- Vergeet niet om de DEBUG mode uit te zetten.
- Stel de
X-Content-Type-Options: nosniff
header in. - Stel de
X-Frame-Options: deny
header in. - Stel de
Content-Security-Policy: default-src 'none'
header in. - Verwijder vingerafdruk headers -
X-Powered-By
,Server
,X-AspNet-Version
etc. - Dwing
content-type
headers af voor de response , als je antwoordapplication/json
is dan is decontent-type
:application/json
. - Stuur geen gevoelige data terug:
Gebruikersnamen
,Wachtwoorden
,security tokens
. - Geef de correcte HTTP antwoord code terug op basis van de uitgevoerde operatie(e.g.
200 OK
,400 Bad Request
,401 Unauthorized
,405 Method Not Allowed
... etc).
Translation by | Vertaling door :S.Holzhauer
Feel free to contribute , fork -> edit -> submit pull request. For any questions drop us an email at [email protected].