Arkadaşlar merhaba, bu konuda sizlere API ve WEB Servisleri Doğrulama Gereksinimlerinden bahsedicem. Kontrol listemizde daha önce değindiğimiz konularda var, hiç değinmediklerimizde var. Hemen kontrol listesini inceleyelim.
- SSRF ve RFI Güvenlik açıklarına daha önce değinmiştik
- web servis yönetim alanının ve fonksiyonlarının sadece servis yöneticileri tarafından erişilebilmesi durumu 4. maddede daha açık anlatılmıştır
- bilgi ifşası konusundan değildi
- delete methodu web sunucusu üzerinden dosya silmeye yarar, put methodu web sunucusuna dosya upload etmeye yarar, normal kullanıcıların kullanamaması gereken fonksiyonlardır.(madde 2 ile ilişkili)
- kullanıcıdan girdi beklenen her noktada, girdinin sunucuya ulaşmadan önce kontrolden geçmesi gerekir
- CSRF güvenlik açığından daha önce bahsedildi
- kritik güvenlik açıklarının oluşmasını sağlayan en riskli alanlar kullanıcıdan girdi beklenen alanlardır. (örnek : isim girilmesi beklenen bi alanda xss, sql payloadlarının denenmesi güvenlik açığını ortaya çıkarır. daha önce değinildi