مفيش محتوى عربي اتكلم عنه او شرح ايه ال security ال APIمستقبل ال BugHuntingالفتره الجايه ولألسف
mechanismاللي المفروض ال Developersاو ال Testersتفهمها وتركز عليها..
والن ال APIمستخدم في كل حاجة تقريبا يعني لو عندك ويبسايت او موبيل ابليكشن او حتى iotفعشان كدا التركيز هيكون على ال apiوتحديدا ال Rest Apiالنه بكل بساطة اكثر شيوعا من االنواع التانية كالمنا Xهيكون عن ال RestApiوتركيزنا هيكون عن owasp top 10وهحاول إن شاء هللا انزل كل يوم فيديو تطبيق عملي على ثغرة في ال RestApi ؛)Broken Object Level Authorization ( -1 ودي بكل بساطه زي ثغرة ال IDORفي الويب يعني بتخليك تأكسس Xداتا مش مسموحلك تأكسسها او تشوف بيانات Xيوزر مش مسموحلك تشوفها ودي االيمباكت بتاعها Xعالي ؛)Broken User Authentication ( -2 ودي بقا بتخليك تعمل لوج ان باكونت اي يوزر تاني يعني من االخر بتخليت تعمل Account Take overااليمباكت بتاعها عالي ؛)Mass Assignment( -3 دي بقا بتخليت تغير قيمه في الهيدر بتاع الريكويست وبينفز functionفي الكود مش مسموحلك تنفزها زي مثال لو في قيمه بتتبعت في الريكويست بتميز اليوزر عن االدمن ف انت لما بتغيرها بتاخد صالحيات االدمن وبكدا انت تقدر تبقا ادمن ؛)Injection( -4 دي بقا اي فيها sqlinjectionو nosqlو command injectionودي بكل بساطة بتخليق تنفذ كوماند على السيرفر او تنفز queryعلى ال database ؛)Excessive Data Exposure ( -5 ايه بقا اللي بيحصل في الثغرة دي ان ال Developerبيكسل يرجع البيانات المطلوبة بس فبيرجع كل البيانات اللي عنده وبيكون فيها بيانات حساسة المفروض مترجعش Xفي الريسبونس ؛)Lack of Resources Rate Limiting ( -6 الثغرة دي خطيرة ليه الن الهاكر Xبيقدر يستخدم كل موارد الجهاز في انه يبعت ترافيك كبير وبيقدر يوقع السيرفر والن مش متحددله limitمعين للريكويست ؛)Security Misconfiguration ( -7 دي بقا باينة من اسمها يعني بكل بساطة لو في اكونت بتاع االدمن سايبه ب ال default nameاو الباسورد default passwordفساعتها الهاكر هيعرف يدخل بكل سهولة ؛)Insufficient Logging & Monitoring ( -8 دي بقا شبه ال xssيعني مثال لو انت عرفت ان ال logsبتتخزن ع السيرفر في ملف CSVف انت بتحط حرف ( )،ودا بيفسره انه عمود ف بالتالي انت كدا كسرت الشفرة بتاعت السجل اللي بيراقب الترافيك وعطلت ال monitor ؛)Improper Assets Management ( -9 في الثغرة دي بقا الهاكر بيتالعب في الريكويست وبيحاول يروح ل end pointمش مسموحلو انه يروحلها واللي بيحصل ان السيرفر بيمنعه ولكن لما بيحاول يغير اإلصدار بتاع ال apiمثال http://motasem.com/api/v2/admin الى http://motasem.com/api/v1/admin ويقدر من خاللها ؛)Broken Function level Authorization ( -10 بتمكن Xالهكر انه يسرق اكونت حد او يحذف حساب حد او يرقي صالحياته الدمن بالتوفيق إن شاء هللا