[ad_1]
অনুযায়ী ভেরিজনের 2025 ডেটা লঙ্ঘন তদন্ত প্রতিবেদন, এপিআই-সম্পর্কিত লঙ্ঘনগুলি বছরে প্রায় 40 শতাংশ বৃদ্ধি পেয়েছে, ভাঙা অনুমোদনের সাথে সর্বাধিক শোষিত ত্রুটিগুলির মধ্যে একটি হিসাবে উল্লেখ করা হয়েছে।
এখন যদিও অনুপ্রবেশকারীআক্রমণ পৃষ্ঠ পরিচালনার একজন নেতা, অটোসওয়াগার চালু করেছেন – একটি বিনামূল্যে, ওপেন সোর্স সরঞ্জাম যা ভাঙা অনুমোদনের দুর্বলতার জন্য ওপেনাপি-ডকুমেন্টেড এপিআইগুলি স্ক্যান করে।
এপিআইগুলি আধুনিক অ্যাপ্লিকেশনগুলির মেরুদণ্ডে পরিণত হয়েছে এবং এপিআইগুলির বিস্ফোরণ প্রতিটি সংস্থার জন্য একটি বর্ধিত আক্রমণ পৃষ্ঠ তৈরি করেছে, বিশেষত যারা তৃতীয় পক্ষের এপিআই (অর্থ প্রদান, বিশ্লেষণ, সামাজিক লগইন ইত্যাদি) এর উপর প্রচুর নির্ভর করে-যা তাদের নিয়ন্ত্রণের বাইরে ঝুঁকিগুলি প্রবর্তন করতে পারে। যখন ভাঙা অনুমোদনের দুর্বলতাগুলি খারাপ অভিনেতাদের দ্বারা আবিষ্কার এবং শোষণ করা হয়, তখন ফলাফলগুলি খুব ক্ষতিকারক হতে পারে।
“এই দুর্বলতাগুলি শোষণ করা এত সহজ, আপনি কোনও প্রযুক্তিগত পটভূমি না থাকা কাউকে কীভাবে এটি করবেন তা শিখিয়ে দিতে পারেন,” ক্রিস ওয়ালিস, সিইও এবং ইন্ট্রুডারের প্রতিষ্ঠাতা বলেছেন। “আপনি যখন এই সমস্যাগুলি কতটা সাধারণ এবং প্রায়শই সংস্থাগুলি নতুন কোড প্রকাশ করে বা নতুন এন্ডপয়েন্টগুলি প্রকাশ করে তা বিবেচনা করে, এটি স্পষ্ট যে এটি একটি সমালোচনামূলক ফাঁক That এ কারণেই আমরা আক্রমণকারীদের করার আগে দলগুলিকে এই ত্রুটিগুলি খুঁজে পেতে এবং ঠিক করতে সহায়তা করার জন্য নিখরচায় অটোসওয়াগারকে উপলব্ধ করছি।”
অটোসওয়াগার কোনও সংস্থার ডোমেনগুলির তালিকা দিয়ে শুরু করে বিভিন্ন সাধারণ ফর্ম্যাট এবং অবস্থানগুলিতে এপিআই স্কিমাস সনাক্ত করে কাজ করে। এটি ওপেনাপি এবং সোয়াগার ডকুমেন্টেশন পৃষ্ঠাগুলির জন্য স্ক্যান করে, বৈধ স্কিমাগুলি সনাক্ত করার জন্য প্রতিটি হোস্টকে অনুরোধ প্রেরণ করে। একবার চিহ্নিত হয়ে গেলে, এটি এপিআই স্পেসিফিকেশনগুলিকে পার্স করে এবং প্রতিটি এন্ডপয়েন্টের সংজ্ঞা, প্রয়োজনীয় পরামিতি এবং প্রত্যাশিত ডেটা প্রকারগুলি বিবেচনায় নিয়ে স্বয়ংক্রিয়ভাবে পরীক্ষার জন্য শেষ পয়েন্টগুলির একটি তালিকা তৈরি করে।
এরপরে এটি ডকুমেন্টেশন থেকে টানা বৈধ পরামিতিগুলি ব্যবহার করে প্রতিটি শেষ পয়েন্টে অনুরোধ প্রেরণ করে ভাঙা অনুমোদনের ত্রুটিগুলি সনাক্ত করতে লক্ষ্যযুক্ত স্ক্যানগুলি কার্যকর করতে পারে। এটি শেষ পয়েন্টগুলি পতাকা দেয় যা প্রত্যাশিত এইচটিটিপি 401 বা 403 ত্রুটির পরিবর্তে একটি বৈধ প্রতিক্রিয়া দেয়, যা সাধারণত সঠিক অ্যাক্সেস নিয়ন্ত্রণকে নির্দেশ করে। এটি শেষ পয়েন্টগুলি হাইলাইট করে যেখানে প্রমাণীকরণ অনুপস্থিত বা অকার্যকর।
এটি ব্যক্তিগতভাবে সনাক্তযোগ্য তথ্য (পিআইআই), শংসাপত্র বা অভ্যন্তরীণ রেকর্ডগুলির মতো উন্মুক্ত সংবেদনশীল ডেটার লক্ষণগুলির জন্য কোনও সফল প্রতিক্রিয়া বিশ্লেষণ করে।
“আপনার এপিআইয়ের জন্য ডকুমেন্টেশন প্রকাশ করা কার্যকরভাবে আপনার আক্রমণ পৃষ্ঠকে বাড়িয়ে তোলে এবং গভীরতার পরিমাপে প্রতিরক্ষা হিসাবে, এটি কোনও ব্যবসায়ের প্রয়োজনীয়তা না হলে আপনার এপিআই ডকুমেন্টেশন প্রকাশ করা উচিত নয়,” ইন্ট্রুডারের সুরক্ষার প্রধান ড্যান অ্যান্ড্রু বলেছেন। “এখানে পাঠটি হ’ল প্রতিটি বিকাশের পুনরাবৃত্তির পরে নিয়মিত এপিআই স্ক্যান করার পাশাপাশি, আপনার এপিআইগুলি এড়াতে না পারলে প্রকাশ্যে নথিভুক্ত করা উচিত নয়। ‘মানচিত্র’ ব্যতীত এই ধরণের দুর্বলতা আক্রমণকারীদের শোষণ করা আরও কঠিন হয়ে পড়ে।”
আপনি আরও জানতে পারেন অনুপ্রবেশকারী ব্লগ এবং ধরে রাখুন অটোসওয়াগার গিথুব থেকে।
চিত্র ক্রেডিট:: [email protected]/ডিপোজিটফোটস ডটকম
[ad_2]
