Wie können wir eine REST-API für mobile Apps vor Sniffing- und Impersonation-Angriffen schützen?

Sichern eines API-REST für mobile Apps

Sie vermuten, dass Sniffing-Anfragen Zugriff auf die Geheimnisse einer API ermöglichen und diese somit anfällig für Ausnutzung durch andere machen Extrahieren des „Schlüssels“. Dies hat dazu geführt, dass Sie die Fähigkeit in Frage gestellt haben, eine API in einer mobilen Umgebung zu sichern.

Den Unterschied verstehen: „Was“ vs. „Wer“

Bei der Betrachtung einer API Aus Sicherheitsgründen ist es wichtig, zwischen „was“ und „wer“ zu unterscheiden, der die Anfrage an die API stellt Server.

• Was: Bezieht sich auf das Gerät oder die Anwendung, die die Anfrage stellt.
• Wer: Bezeichnet den menschlichen Benutzer, der die Anfrage initiiert hat Anfrage.

Bei abgefangenen Schlüsseln liegt das Problem darin, „was“ nachzuahmen, was normalerweise verwendet wird um die Authentizität der mobilen App, die die Anfrage stellt, zu validieren.

Absicherung und Abschirmung der mobilen App

Um zu verhindern, dass diese Geheimnisse von Anfang an durchbrochen werden, sollten Sie die Implementierung von Lösungen in Betracht ziehen die versuchen, die mobile App selbst abzuschirmen:

• Mobile Hardening and Shielding: Schutz vor kompromittierten oder modifizierten Geräten und unbefugtem Zugriff auf die App Ebene. Diese Maßnahmen weisen jedoch Einschränkungen auf, da sie mit fortschrittlichen Tools wie Frida umgangen werden können.

Sichern des API-Servers

Konzentrieren Sie sich auf die Absicherung des API-Servers, um ihn zu verbessern seine Fähigkeit, Angriffe zu erkennen und abzuwehren:

• Grundlegende API-Sicherheit Abwehrmaßnahmen: Implementieren Sie Maßnahmen wie HTTPS, API-Schlüssel und IP-Adressprüfungen, um eine Schutzbasis zu schaffen.
• Erweiterte API-Sicherheitsmaßnahmen: Setzen Sie Techniken wie API-Schlüssel und HMAC ein , OAUTH und Zertifikat-Pinning, um die Sicherheit weiter zu verbessern und gleichzeitig mögliche Schwachstellen zu erkennen.
• Zusätzlich Tools: Erwägen Sie die Implementierung von Tools wie reCAPTCHA V3, Web Application Firewall (WAF) und User Behavior Analytics (UBA), um Missbrauch zu erkennen und sich vor gezielten Angriffen zu schützen.

Eine mögliche Lösung : Bescheinigung einer mobilen App

Herkömmliche Ansätze, bei denen die mobile App Geheimnisse enthält, können diese der Extraktion aussetzen. Eine bessere Lösung besteht in der Implementierung der Mobile App Attestation:

• Konzept: Ein Dienst, der die Integrität der mobilen App und des Geräts zur Laufzeit überprüft.
• Vorteil: Ermöglicht das Entfernen von Geheimnissen aus der mobilen App und ermöglicht so die JWT-Token-Verifizierung durch den API-Server, um Vertrauen aufzubauen und Unbefugte zu verhindern Zugriff.

Zusätzliche Erkenntnisse von OWASP

Eine umfassende Anleitung finden Sie in den Ressourcen der OWASP-Stiftung zu:

• Mobile App-Sicherheit: OWASP – Leitfaden zum Testen mobiler Sicherheit
• API-Sicherheit: OWASP API Security Top 10

Das obige ist der detaillierte Inhalt vonWie können wir eine REST-API für mobile Apps vor Sniffing- und Impersonation-Angriffen schützen?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!