БЕЗПЕКА REST API: ЗАГРОЗИ ТА МЕТОДИ ЗАХИСТУ

Юрій Щебланін; Богдан Сидоренко; Інна Михальчук

doi:10.17721/ISTS.2024.8.60-65

Автор(и)

Юрій Щебланін Київський національний університет імені Тараса Шевченка Автор https://orcid.org/0000-0002-3231-6750
Богдан Сидоренко Київський національний університет імені Тараса Шевченка Автор https://orcid.org/0009-0006-5646-333X
Інна Михальчук Київський національний університет імені Тараса Шевченка Автор https://orcid.org/0000-0002-1802-7653

DOI:

https://doi.org/10.17721/ISTS.2024.8.60-65

Ключові слова:

REST API, інформаційна безпека, автентифікація, авторизація, загрози

Анотація

В с т у п . Зростання зловмисної активності в інформаційному просторі створює додаткові виклики для організацій, які використовують REST API в процесі передачі даних та організації взаємодії з клієнтами і партнерами. Згідно зі статистикою, більше 80 % сучасного вебтрафіка проходить через веб-API, що робить його привабливою мішенню для кіберзлочинців. Вразливість у механізмах автентифікації та авторизації REST API може призвести до витоку конфіденційної інформації, фінансових втрат і загроз репутації. Тому забезпечення безпеки REST API є критично важливим завданням для сучасних компаній, особливо тих, що працюють у галузях із високим рівнем ризику.

М е т о д и . Застосовано методи аналізу загроз безпеці й оцінювання ризиків, що виникають у процесі використання REST API.

Р е з у л ь т а т и . Організації інвестують значні ресурси у розвиток технологій захисту REST API, впроваджують токени для контролю доступу, шифрують передачу даних за допомогою TLS/SSL та інтегрують сучасні засоби захисту в свої додатки. Проте дослідження показує, що основні загрози безпеці все ще залишаються актуальними через недостатній рівень захищеності процесу валідації вхідних даних, слабкі паролі та відсутність багатофакторної автентифікації. Також встановлено, що значна кількість API не мають обмежень на частоту запитів, що робить їх вразливими до атак на виснаження ресурсів (DoS- і DDoS-атаки).

В и с н о в к и . Одним із ключових напрямів розв'язання проблеми безпеки REST API є впровадження системи управління безпекою API, до якої належить використання багаторівневого підходу до захисту. Це включає контроль доступу, застосування токенів для авторизації, регулярну перевірку систем на наявність вразливостей та обмеження швидкості запитів для зменшення ризику атак на відмову в обслуговуванні. До того ж упровадження сучасних практик безпеки, таких як багатофакторна автентифікація, допоможе мінімізувати ризики несанкціонованого доступу. Результати дослідження можуть бути використані для вдосконалення існуючих політик безпеки REST API й оптимізації підходів до управління загрозами в компаніях різного масштабу.

Завантажити

Дані для завантаження поки недоступні.

Посилання

Atlidakis, V., Godefroid, P. & Polishchuk M (2019). RESTler: Stateful REST API Fuzzing. 41st ACM/IEEE International Conference on Software Engineering (ICSE'2019). Montreal, QC, Canadа. https://ieeexplore.ieee.org/document/8811961

Barabash, O., Sobchuk, V., Musienko, A., Laptiev, O., Bohomia, V., & Kopytko, S. (2023). System Analysis and Method of Ensuring Functional Sustainability of the Information System of a Critical Infrastructure Object (pp. 177–192). https://doi.org/10.1007/978-3-031-37450-0_11

Laptiev, O.,Sobchuk, V., Subach, I., Barabash, A. & Salanda, I. (2022). The Method of Detecting Radio Signals Using the Approximation of Spectral Function. CEUR Workshop Proceedings, 3384, 52–61.

OWASP API Security Project (2021). OWASP Foundation. Retrieved from: https://owasp.org/www-project-api-security/.

OWASP API Security Top 10. (2023). OWASP Foundation. https://owasp.org/www-project-api-security/.

Rzaieva, S., Rzaiev D., Kostyuk Y., Hulak H., & Shcheblanin O. (2024). Methods of Modeling Database System Security (short paper). CPITS 2024: 384–390.

Schmidt, T., & Meier, M. (2020). Secure API Design and Development: Practices for Building Robust APIs. API Security Journal, 5(2), 43–57.

Shcheblanin, Y., Oliinyk, B., Kurchenko, O., Toroshanko O., Korshun, & N. (2023). Research of Authentication Methods in Mobile Applications. CPITS-2023, 3421, 266–271.

Sobchuk, V., Zelenska, I., & Laptiev, O. (2023). Algorithm for solution of systems of singularly perturbed differential equations with a differential turning point. Bulletin of the Polish Academy of Sciences Technical Sciences, 71(3), Article number: e145682. https://doi.org/10.24425/bpasts.2023.145682.

Stallings, W. (2020). Cryptography and Network Security. Principles and Practice. Pearson Education.

Subhadeep C., Sainath C., Pinnarwar S., & Sandosh S. (2024). Real- Time Threat Detection and Mitigation in Web API Development. International Conference on Electrical Electronics and Computing Technologies (ICEECT), 1 (рр. 1–9). Greater Noida, India.

Zahynei A., Shcheblanin Y, Kurchenko O., Anosov A., & Kruglyk V. (2024). Method for Calculating the Residual Resource of Fog Node Elements of Distributed Information Systems of Critical Infrastructure Facilities (short paper). CPITS 2024: р. 432-439.