問題分析：服務器未驗證請求對象的用戶是否有權限查看該對象。如果對象 ID 是連續的（如 1000、1001、1002），攻擊者可以輕松猜測下一個對象 ID，從而訪問未經授權的數據。

如何修復此漏洞

@app.route("/user/", methods=["GET"])
def get_document(objectid):
    if exists(objectid):
        user = get_user_information()

# 驗證 - 檢查權限

        if has_access(user, objectid):
            obj = retrieve(objectid)
            return obj, 200
        else:
            msg = "您無權訪問此文檔"
            return msg, 403
    else:
        msg = "文檔不存在"
        return msg, 404

修復建議：

• 使用隨機且不可預測的值作為記錄的 GUID ID（如 uuid 庫）。
• 實現基于用戶策略和層次結構的授權機制（如 Django Groups）。
• 在每個訪問數據庫記錄的函數中，驗證用戶是否有權限執行請求的操作。

漏洞 2：身份驗證失效

存在漏洞的端點

@app.route("/verifyOTP", methods=["POST"])
def verifyOTP():
    received_code = request.data.code
    correct_code = get_generated_code()
    if received_code == correct_code:
        log_user_in()
        msg = "登錄成功"
        return msg, 200
    else:
        msg = "驗證碼錯誤"
        return msg, 403

問題分析：未限制用戶嘗試登錄的次數，攻擊者可以通過暴力破解自動化工具嘗試不同的密碼或驗證碼，直到成功為止。

如何修復此漏洞

@app.route("/verifyOTP", methods=["POST"])
def verifyOTP():

# 驗證 - 檢查用戶嘗試 verifyOTP 的次數

    if has_available_attempts():
        received_code = request.data.code
        correct_code = get_generated_code()
        if received_code == correct_code:
            log_user_in()
            msg = "登錄成功"
            return msg, 200
        else:
            msg = "驗證碼錯誤。您只有5次嘗試"
            has_available_attempts(-1)
            return msg, 403
    else:
        msg = "錯誤請求過多。請一小時后重試"
        return msg, 429

修復建議：

• 限制用戶登錄嘗試次數（如 3-5 次錯誤后鎖定賬戶）。
• 使用現有的身份驗證庫，避免重復造輪子。
• 實施多因素認證（MFA）。
• 增加速率限制和賬戶鎖定機制，防止暴力破解攻擊。

漏洞 3：數據過度暴露

API 通常依賴前端執行數據過濾，但這種方式容易被繞過。攻擊者可以通過瀏覽器開發者工具直接查看完整的 API 響應。

如何修復此漏洞

修復建議：

• 永遠不要依賴客戶端執行敏感數據過濾，后端應只返回必要的數據。
• 審查 API 響應，確保僅包含必要信息。
• 定義并保護所有敏感信息（如 PII）。

漏洞 4：資源不足和速率限制缺失

存在漏洞的端點

@app.route("/image", methods=["POST"])
def upload_image():
    image = request.data.image
    if save(image) == True:
        msg = "圖片上傳成功"
        return msg, 200
    else:
        msg = "發生錯誤。請稍后再試"
        return msg, 500

問題分析：攻擊者可以通過自動化工具持續上傳大圖片，耗盡服務器資源。

如何修復此漏洞

@app.route("/image", methods=["POST"])
def upload_image():
    image = request.data.image
    if can_upload():
        if too_big(image.size):
            msg = "圖片大小過大。請選擇其他文件"
            return msg, 400
        if save(image) == True:
            msg = "圖片上傳成功"
            return msg, 200
        else:
            msg = "發生錯誤。請稍后再試"
            return msg, 500
    else:
        msg = "您已上傳過多圖片。請刪除一張以繼續。"
        return msg, 400

修復建議：

• 實施速率限制，限制用戶在一定時間內的操作次數。
• 驗證上傳資源的大小，防止服務器因處理大數據而卡住。
• 定義并強制執行所有傳入參數的最大數據大小。

漏洞 5：功能級授權失效

存在漏洞的端點

@app.route("/user/", methods=["DELETE"])
def delete_user(userid):
    if exists(userid):

# 執行不安全操作

        delete(userid)
        msg = "用戶刪除成功"
        return msg, 200
    else:
        msg = "用戶不存在"
        return msg, 404

問題分析：未驗證用戶權限，任何人都可以通過調用此端點刪除用戶。

如何修復此漏洞

@app.route("/user/", methods=["DELETE"])
def delete_user(userid):
    if exists(userid):
        logged_user = get_user_information()

# 驗證 - 只有管理員可以刪除用戶

        if is_admin(logged_user):
            delete(userid)
            msg = "用戶刪除成功"
            return msg, 200
        else:
            msg = "您無權執行此操作"
            return msg, 403
    else:
        msg = "用戶不存在"
        return msg, 404

修復建議：

• 后端應通過驗證用戶權限來阻止敏感操作，而非依賴前端隱藏按鈕。
• 默認拒絕所有訪問權限，僅為特定角色明確授予權限。

總結

通過本文，您已經了解了 OWASP API 安全十大風險中的部分關鍵問題及其修復方法。現在是時候評估您的 API 安全性并修補潛在漏洞了。安全開發不僅是技術能力的體現，更是對用戶和數據負責的表現。

敬請期待我們的第二部分內容，更多安全實踐即將揭曉！

原文鏈接: https://blog.vidocsecurity.com/blog/api-security-best-practices-for-developers/