"اواسپ" زیر پروژهای به نام مستند OWASP API Security Top 10 دارد که ۱۰ آسیبپذیری را که بیشترین ریسک را در محیط API دارند، منتشر میکند. در این لیست مشخص شده که این آسیبپذیریها دقیقا چه هستند، چطور به وجود آمدهاند، چگونه باید شناسایی و در نهایت برطرف شوند.
چرا امنیت API مهم است؟
محمدرضا مستمع، کارشناس امنیت سایبری و مدیرعامل این شرکت فناور در گفتوگو با ایسنا، API را یک عنصر اساسی نوآوری در دنیای اپلیکیشن محور امروزی دانست و گفت: در همه حوزهها از خرده فروشی و حمل و نقل گرفته تا اینترنت اشیا، وسایل نقلیه خودران و شهرهای هوشمند، APIها بخش مهمی هستند، ضمن آنکه در موبایلهای مدرن، SaaS و برنامههای کاربردی وب به شمار میروند.
وی ادامه داد: APIها، ذاتاً منطق برنامهها و دادههای حساس مانند اطلاعات شناسایی شخصی (PII) را در معرض نمایش میگذارند و به همین دلیل به طور فزایندهای به هدفی برای مهاجمان تبدیل میشوند.
مستمع ادامه داد: تصور کنید یک برنامهنویس میخواهد برای حوزه بورس یک اپلیکیشن را توسعه دهد. این اپلیکیشن برای اینکه کارکرد قابل قبولی داشته باشد، نیاز دارد تا با کارگزاری بورس ارتباط برقرار کند و از سوی دیگر باید بتواند بازار بورس را نیز پایش کند. دقیقا به دلیل نیاز به همین ارتباطات بود که مفهومی به نام API خلق شد. زمانی که یک سازمان یا شرکت سرویس API ارائه میدهد، بحث امنیت بسیار با اهمیت میشود؛ چراکه همه مخاطبان آن توسعهدهندگانی هستند که دانش فنی بالایی دارند.
مدیر عامل این شرکت تاکید کرد: اگر یک API به شکل درستی پیاده سازی نشده باشد، این خطر به شکل بالقوه وجود دارد که از آسیب پذیریهای API سواستفاده شود، به گونهای که احتمال آسیبپذیری افزایش پیدا میکند و ممکن است دادهها در معرض نشت قرار بگیرند.
این محقق حوزه کارشناسی فناوری اطلاعات اظهار کرد: مهمترین نکته این است که بدون API های امن، نوآوری سریع غیرممکن خواهد بود. حال، امنیت API بر استراتژیها و راهحلهایی برای درک و کاهش آسیبپذیریها و خطرات امنیتی منحصربهفرد رابطهای برنامهنویسی کاربردی (API) تمرکز دارد.
اهمیت استفاده از OWASP برای توسعهدهندگان و شرکتهای ایرانی
مستمع خاطر نشان کرد: شرکتهای ایرانی میتوانند این سند را به فارسی در اختیار توسعهدهندگان خود قرار دهند و از آنها بخواهند ۱۰ مورد اصلی که بیشترین آسیبپذیریهای این حوزه بودهاند را رعایت کنند تا API و دادههای آنها امن باقی بماند. در این راستا این شرکت با همین هدف این سند امنیتی مهم را به فارسی برگردانده است.
این کارشناس امنیت سایبری تاکید کرد: ما در این شرکت با هدف کمک به افزایش امنیت فضای وب فارسی این دستورالعمل را به زبان فارسی برگرداندیم. ما در تستهای نفوذ خود میبینیم که سطح این آسیبپذیریها در سرویسها و خدمات ایرانی به شدت بالا است، به همین دلیل تصمیم گرفتیم این سند مهم را به فارسی ترجمه کنیم تا به جامعه برنامه نویسان ایرانی کمک کنیم تا از مهمترین و متداولترین آسیبپذیریهای مربوط به APIها جلوگیری شود.
وی اضافه کرد: در یک کلام، ما تلاش کردیم به امنتر شدن فضای API در کشورمان کمک کنیم. از سوی دیگر، اگر پیادهسازی API به شکل درست و امن انجام شود، آن زمان متخصصین امنیت سایبری میتوانند دقت و تلاش خود را صرف کشف و جلوگیری از آسیبپذیریهای مهمتر کنند.
به گفته مستمع، حجم آسیبپذیریهای حوزه API در ایران به شدت زیاد شده است و چنین اتفاقی اثرات جانبی منفی بزرگی روی استفاده همه کاربران از شبکه اینترنت خواهد داشت.
انتهای پیام
0 دیدگاه