‫مفيش محتوى عربي اتكلم عنه او شرح ايه ال ‪security‬‬ ‫ال ‪ API‬مستقبل ال ‪ BugHunting‬الفتره الجايه ولألسف‬

‫‪ mechanism‬اللي المفروض ال ‪ Developers‬او ال ‪ Testers‬تفهمها وتركز عليها‪..‬‬

‫والن ال ‪ API‬مستخدم في كل حاجة تقريبا يعني لو عندك ويبسايت او موبيل ابليكشن او حتى ‪ iot‬فعشان كدا التركيز هيكون‬
‫على ال ‪ api‬وتحديدا ال ‪ Rest Api‬النه بكل بساطة اكثر شيوعا من االنواع التانية‬
‫كالمنا‪ X‬هيكون عن ال ‪ RestApi‬وتركيزنا هيكون عن ‪ owasp top 10‬وهحاول إن شاء هللا انزل كل يوم فيديو تطبيق عملي‬
‫على ثغرة في ال ‪RestApi‬‬
‫؛‪)Broken Object Level Authorization ( -1‬‬
‫ودي بكل بساطه زي ثغرة ال ‪ IDOR‬في الويب يعني بتخليك تأكسس‪ X‬داتا مش مسموحلك تأكسسها او تشوف بيانات‪ X‬يوزر مش‬
‫مسموحلك تشوفها ودي االيمباكت بتاعها‪ X‬عالي‬
‫؛‪)Broken User Authentication ( -2‬‬
‫ودي بقا بتخليك تعمل لوج ان باكونت اي يوزر تاني يعني من االخر بتخليت تعمل ‪ Account Take over‬االيمباكت بتاعها‬
‫عالي‬
‫؛‪)Mass Assignment( -3‬‬
‫دي بقا بتخليت تغير قيمه في الهيدر بتاع الريكويست وبينفز ‪ function‬في الكود مش مسموحلك تنفزها زي مثال لو في قيمه‬
‫بتتبعت في الريكويست بتميز اليوزر عن االدمن ف انت لما بتغيرها بتاخد صالحيات االدمن وبكدا انت تقدر تبقا ادمن‬
‫؛‪)Injection( -4‬‬
‫دي بقا اي فيها ‪ sqlinjection‬و ‪ nosql‬و ‪ command injection‬ودي بكل بساطة بتخليق تنفذ كوماند على السيرفر او تنفز‬
‫‪ query‬على ال ‪database‬‬
‫؛‪)Excessive Data Exposure ( -5‬‬
‫ايه بقا اللي بيحصل في الثغرة دي ان ال ‪ Developer‬بيكسل يرجع البيانات المطلوبة بس فبيرجع كل البيانات اللي عنده وبيكون‬
‫فيها بيانات حساسة المفروض مترجعش‪ X‬في الريسبونس‬
‫؛‪)Lack of Resources Rate Limiting ( -6‬‬
‫الثغرة دي خطيرة ليه الن الهاكر‪ X‬بيقدر يستخدم كل موارد الجهاز في انه يبعت ترافيك كبير وبيقدر يوقع السيرفر والن مش‬
‫متحددله ‪ limit‬معين للريكويست‬
‫؛‪)Security Misconfiguration ( -7‬‬
‫دي بقا باينة من اسمها يعني بكل بساطة لو في اكونت بتاع االدمن سايبه ب ال ‪ default name‬او الباسورد ‪default‬‬
‫‪ password‬فساعتها الهاكر هيعرف يدخل بكل سهولة‬
‫؛‪)Insufficient Logging & Monitoring ( -8‬‬
‫دي بقا شبه ال ‪ xss‬يعني مثال لو انت عرفت ان ال ‪ logs‬بتتخزن ع السيرفر في ملف ‪ CSV‬ف انت بتحط حرف (‪ )،‬ودا‬
‫بيفسره انه عمود ف بالتالي انت كدا كسرت الشفرة بتاعت السجل اللي بيراقب الترافيك وعطلت ال ‪monitor‬‬
‫؛‪)Improper Assets Management ( -9‬‬
‫في الثغرة دي بقا الهاكر بيتالعب في الريكويست وبيحاول يروح ل ‪ end point‬مش مسموحلو انه يروحلها واللي بيحصل ان‬
‫السيرفر بيمنعه ولكن لما بيحاول يغير اإلصدار بتاع ال ‪ api‬مثال ‪http://motasem.com/api/v2/admin‬‬
‫الى ‪http://motasem.com/api/v1/admin‬‬
‫ويقدر من خاللها‬
‫؛‪)Broken Function level Authorization ( -10‬‬
‫بتمكن‪ X‬الهكر انه يسرق اكونت حد او يحذف حساب حد او يرقي صالحياته الدمن‬
‫بالتوفيق إن شاء هللا‬