web-dev-qa-db-ja.com

本番用APIのSwagger

機密データ(OAuthで保護されているにもかかわらず)を公開する本番APIに Swagger ページを残すと、どのようなセキュリティ問題が発生する可能性がありますか?悪質な手段でOpen API定義ファイル(つまりswagger)を収集するWebクローラーはありますか?

2
Ulysses4321

APIを公に文書化することで、APIを悪用する可能性のある方法を特定する際に攻撃者が有利なスタートを切ることができます。

機能的な Swagger UI ページをホストする予定の場合は、APIのクロスオリジンリソースシェアリングポリシーが過度に許容されていないこと、およびクロスサイトリクエストフォージェリ保護が設定されていることを確認してください。

同様に、Swagger UIページをX-Frame-Optionsヘッダーなどを介してフレームジャッキングから守るように注意してください。

それらとは別に、これらの他のビジネス関連のリスクを考慮してください。

  • aPIドキュメントは組織を反映しているため、冒とく的な表現などは含めないでください
  • aPIが処理する機密データの種類を正確に明らかにする可能性がある
    • 社会保障番号やその他のPIIは、攻撃者にとって大きな魅力です。
  • aPIによって、組織のビジネス接続が明らかになる場合と悪化する場合があります
    • たとえば、APIドキュメントに「exclude_data_we_stole_from_the_fbi」という名前のクエリパラメータが含まれている場合、FBIからデータを盗むことに注意を引くことができます
  • aPIの更新頻度は、競合他社に対して開発または保守の速度を示す可能性があります
1
PlasmaSauna