Showing preview only (254K chars total). Download the full file or copy to clipboard to get everything.
Repository: shieldfy/API-Security-Checklist Branch: master Commit: 92ddbc560083 Files: 33 Total size: 243.7 KB Directory structure: gitextract_qys6qenu/ ├── CONTRIBUTING.md ├── LICENSE ├── README-ar.md ├── README-az.md ├── README-bg.md ├── README-bn.md ├── README-ca.md ├── README-cs.md ├── README-de.md ├── README-el.md ├── README-es.md ├── README-fa.md ├── README-fr.md ├── README-hi.md ├── README-id.md ├── README-it.md ├── README-ja.md ├── README-ko.md ├── README-lo.md ├── README-mk.md ├── README-ml.md ├── README-mn.md ├── README-nl.md ├── README-pl.md ├── README-pt_BR.md ├── README-ru.md ├── README-th.md ├── README-tr.md ├── README-tw.md ├── README-uk.md ├── README-vi.md ├── README-zh.md └── README.md ================================================ FILE CONTENTS ================================================ ================================================ FILE: CONTRIBUTING.md ================================================ # Contributing Contributions are **welcome** and will be fully **credited**. We accept contributions via Pull Requests on [Github](https://github.com/shieldfy/API-Security-Checklist). ## Pull Requests - **Sync** - Please make sure your repository is up to date with ours to avoid conflicts as much as possible. - **Language** - Please make sure to check your contribution for grammar mistakes and typos as much as possible. - **One pull request per feature** - If you want to do more than one thing, send multiple pull requests. - **Send coherent history** - Make sure each individual commit in your pull request is meaningful. If you had to make multiple intermediate commits while developing, please [squash them](http://www.git-scm.com/book/en/v2/Git-Tools-Rewriting-History#Changing-Multiple-Commit-Messages) before submitting. ## Add New Translation - Fork the repository. - Translate the `README.md` file. - write the translations to a new file with naming schema (`README-[Language-code].md`), [Available languages codes](https://en.wikipedia.org/wiki/List_of_ISO_639-1_codes). *Example: If you want to translate for Deutsch, you would name the translated readme file as `README-de.md`.* **Stay Secure**! ================================================ FILE: LICENSE ================================================ MIT License Copyright (c) 2017 Shieldfy Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the "Software"), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to the following conditions: The above copyright notice and this permission notice shall be included in all copies or substantial portions of the Software. THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE. ================================================ FILE: README-ar.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [Azərbaycan](./README-az.md) | [Български](./README-bg.md) | [বাংলা](./README-bn.md) | [Català](./README-ca.md) | [Čeština](./README-cs.md) | [Deutsch](./README-de.md) | [Ελληνικά](./README-el.md) | [Español](./README-es.md) | [فارسی](./README-fa.md) | [Français](./README-fr.md) | [हिंदी](./README-hi.md) | [Indonesia](./README-id.md) | [Italiano](./README-it.md) | [日本語](./README-ja.md) | [한국어](./README-ko.md) | [ພາສາລາວ](./README-lo.md) | [Македонски](./README-mk.md) | [മലയാളം](./README-ml.md) | [Монгол](./README-mn.md) | [Nederlands](./README-nl.md) | [Polski](./README-pl.md) | [Português (Brasil)](./README-pt_BR.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) <div dir="rtl"> # API Security Checklist قائمة تحتوي على أهم الاحتياطات الأمنية حينما تقوم بتخطيط واختبار وإطلاق الـAPI الخاصة بك --- ## المصادقة (Authentication) - [ ] لا تستخدم `Basic Auth` لكن استخدم المعايير القياسية للمصادقة. - [ ] لا تعد اختراع العجلة في `المصادقة`، `توليد الرموز`، `تخزين كلمات المرور`. قم باستخدام المعايير القياسية. - [ ] استخدم `تحديد عدد المحاولات` و`الحرمان من الدخول jail feature` في تسجيل الدخول. - [ ] استخدم التشفير في كل البيانات الحساسة. ## الوصول - [ ] حدد الطلبات (Throttling) لتتجنب هجوم حجب الخدمة DDoS وهجوم التخمين بالقوة brute-force. - [ ] استخدم HTTPS على الخادوم لتتجنب هجمات التنصت على الطلبات MITM (Man In The Middle Attack). - [ ] استخدم `HSTS` header مع الـ SSL لتتجنب هجمات الـ SSL Strip. - [ ] قم بإيقاف تشغيل قوائم الدليل. - [ ] بالنسبة لواجهات برمجة التطبيقات الخاصة، اسمح بالوصول فقط من عناوين IP والمضيفين المدرجين في القائمة البيضاء. ## Authorization ### OAuth - [ ] تحقق دائما من `redirect_uri` في الرمز البرمجي للخادوم لتسمح فقط بقائمة محددة من الروابط. - [ ] دائما حاول أن تقوم بالتبادل والرد برمز برمجي وليس بالرمز (لا تسمح `response_type=token`). - [ ] استخدم متغير `state` في الرابط مع مزيج عشوائي من الحروف لتمنع هجمات الـ CSRF على عملية المصادقة الخاصة بالـ OAuth. - [ ] حدد الصلاحية والنطاق الافتراضي scope، وقم بالتحقق منه مع كل تطبيق. ## الإدخال - [ ] استخدم الوسيلة المناسبة HTTP method حسب العملية التي تريد القيام بها : `GET (للقرائة)`, `POST (انتاج أو اضافة)`, `PUT/PATCH (لإستبدال او تحديث)`, and `DELETE (لحذف سجل)`, و قم بالرد بـ `405 Method Not Allowed` في حالة إذا كانت الوسيلة method غير مناسبة . - [ ] قم بالتحقق من `content-type` في رأس الطلب reuest header أو ما يسمى بـ (Content Negotiation) لتسمح فقط بالتنسيقات المدعومة (مثال `application/xml`, `application/json`, إلى آخره) وقم بالرد بـ `406 Not Acceptable` إذا كان التنسيق غير ذلك. - [ ] قم بالتحقق من `content-type` في محتوى الطلب نفسه posted data (مثال `application/x-www-form-urlencoded`, `multipart/form-data`, `application/json`, إلى آخره). - [ ] قم بالتحقق من مدخلات المستخدم لتتجنب الثغرات الشائعة (مثال `XSS`, `SQL-Injection`, `Remote Code Execution`, إلى آخره). - [ ] لا تستخدم أي بيانات حساسة (`credentials`, `Passwords`, `security tokens`, أو `API keys`) في الرابط ولكن استخدم الطريقة القياسية وهي رأس الطلب الخاص بالمصادقة Authorization header. - [ ] استخدم فقط التشفير من جانب الخادم. - [ ] استخدم واجهة للـ API لتستفيد من التخزين المؤقت caching وسياسات تحديد عدد الطلبات Rate Limit policies (مثال `الحصة Quota`, `التنبية في الارتفاع المفاجئ Spike Arrest`, `وتحديد عدد الطلبات المتزامنة Concurrent Rate Limit`) ## المعالجة - [ ] قم بفحص كل النطاقات والروابط للتحقق من كونهم محميين وراء مصادقة authentication لتتجنب المصادقة المكسورة broken authentication. - [ ] يجب تجنب استخدام المعرف الخاص بالموارد. قم باستخدام `/me/orders` بدلا من `/user/654321/orders`. - [ ] لا تقم باستخدام المعرف التلقائي auto-increment. قم باستخدام `UUID` بدلا منه. - [ ] لو قمت بمعالجة ملفات XML, تأكد من أن معالجة entity parsing غير مفعلة لتتجنب هجمات `XXE` (XML external entity). - [ ] لو قمت بمعالجة ملفات XML, تأكد من أن entity expansion غير مفعلة لتتجنب هجمات `Billion Laughs/XML bomb` من خلال هجوم exponential entity expansion. - [ ] استخدم شبكات تسليم المحتوى CDN لرفع الملفات. - [ ] لو كنت تتعامل مع حجم بيانات ضخم، استخدم عمليات منفصلة Workers, Queues لمعالجة البيانات في الخلفية والرد على المستخدم بسرعة لتجنب حجب الطلب HTTP Blocking. - [ ] لا تترك وضع التصحيح DEBUG mode في حالة التشغيل. - [ ] استخدم مكدسات غير قابلة للتنفيذ عند توفرها. ## المخرجات - [ ] استخدم `X-Content-Type-Options: nosniff` في رأس الطلب header. - [ ] استخدم `X-Frame-Options: deny` في رأس الطلب header. - [ ] استخدم `Content-Security-Policy: default-src 'none'` في رأس الطلب header. - [ ] احذف الرؤوس headers التي تدل عليك - `X-Powered-By`, `Server`, `X-AspNet-Version` إلى آخره. - [ ] قم بإجبار إرسال `content-type` مع الرد، لو قمت بالرد بمحتويات من توع `application/json` فمن المستحسن أن يكون الرد ب`content-type` `application/json`. - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] لا تقم بالرد بمعلومات وبيانات حساسة مثل `credentials`, `Passwords`, `security tokens`. - [ ] قم بالرد بكود حالة صحيح status code طبقا للعملية التي تقوم بها. (مثال `200 OK`, `400 Bad Request`, `401 Unauthorized`, `405 Method Not Allowed`, إلى آخره). ## التكامل المستمر CI & النشر المستمر CD - [ ] مراجعة التصميم الخاص بك والتنفيذ مع وحدة / التكامل اختبارات الاختبار unit/integration tests coverage. - [ ] استخدام عملية مراجعة الرمز البرمجي وتجاهل الموافقة على الرمز البرمجي الذي قمت بكتابته. - [ ] تأكد من أن جميع مكونات الخدمات الخاصة بك يتم فحصها بشكل ثابت بواسطة برامج الفيروسات قبل إرسالها إلى الإنتاج، بما في ذلك المكتبات الخارجية وغيرها من التبعيات. - [ ] قم بإجراء اختبارات الأمان باستمرار (التحليل الثابت/الديناميكي) على التعليمات البرمجية الخاصة بك. - [ ] تحقق من تبعياتك (البرنامج ونظام التشغيل) بحثًا عن نقاط الضعف المعروفة. - [ ] تصميم حل التراجع عن عمليات النشر rollback. ## Monitoring - [ ] Use centralized logins for all services and components. - [ ] Use agents to monitor all traffic, errors, requests, and responses. - [ ] Use alerts for SMS, Slack, Email, Telegram, Kibana, Cloudwatch, etc. - [ ] Ensure that you aren't logging any sensitive data like credit cards, passwords, PINs, etc. - [ ] Use an IDS and/or IPS system to monitor your API requests and instances. --- ## انظر أيضا: - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - مجموعة من الادوات و المصادر لبناء RESTful HTTP+JSON APIs. - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # المشاركة لا تتردد في المساهمة عن طريق أخذ نسخة من هذه القائمة fork، وإجراء بعض التغييرات، وتقديم طلبات المراجعة pull request. أي أسئلة الرجاء مراسلتنا على البريد الإلكتروني `team@shieldfy.io`. </div> ================================================ FILE: README-az.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Български](./README-bg.md) | [বাংলা](./README-bn.md) | [Català](./README-ca.md) | [Čeština](./README-cs.md) | [Deutsch](./README-de.md) | [Ελληνικά](./README-el.md) | [Español](./README-es.md) | [فارسی](./README-fa.md) | [Français](./README-fr.md) | [हिंदी](./README-hi.md) | [Indonesia](./README-id.md) | [Italiano](./README-it.md) | [日本語](./README-ja.md) | [한국어](./README-ko.md) | [ພາສາລາວ](./README-lo.md) | [Македонски](./README-mk.md) | [മലയാളം](./README-ml.md) | [Монгол](./README-mn.md) | [Nederlands](./README-nl.md) | [Polski](./README-pl.md) | [Português (Brasil)](./README-pt_BR.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) # API təhlükəsizlik yoxlama siyahısı API-nizi tərtib edərkən, sınaqdan keçirərkən və dərc edərkən ən vacib təhlükəsizlik tədbirlərinin siyahısı. --- ## Autentifikasiya - [ ] `Basic Auth` istifadə etməyin. Bunun əvəzinə standart identifikasiya həllərindən istifadə edin. - [ ] `Autentifikasiya`, `tokenlərin yaradılması`, `parolların saxlanması` üçün təkəri yenidən kəşf etməyə çalışmayın. Standartlardan istifadə edin. - [ ] `Cəhdlərin sayını` məhdudlaşdırmaqla giriş hüquqlarını məhdudlaşdırın. - [ ] Bütün həssas məlumatlarda şifrələmədən istifadə edin. ## Giriş - [ ] Özünüzü DDoS və ya kobud güc hücumlarından qorumaq üçün sorğuları məhdudlaşdırmalısınız. - [ ] MITM (Man In The Middle Attack) hücumlarından qorunmaq üçün server tərəfində HTTPS-dən istifadə edin. - [ ] SSL Strip hücumlarından qorunmaq üçün SSL ilə `HSTS` başlığından istifadə edin. - [ ] Kataloq siyahılarını bağlayın. - [ ] Şəxsi API-lər üçün yalnız ağ siyahıya alınmış IP-lərdən/hostlardan girişə icazə verin. ## Səlahiyyət ### OAuth - [ ] Yalnız ağ siyahıya alınmış URL-lərə icazə vermək üçün həmişə server tərəfindəki `redirect_uri` məlumatını yoxlayın. - [ ] Həmişə işarəni deyil, kodu dəyişməyə çalışın (`response_type=token` istifadə etməyə icazə verməyin). - [ ] OAuth autentifikasiyası zamanı CSRF-nin qarşısını almaq üçün `state` parametrini təsadüfi olaraq hash edin. - [ ] Standart əhatə dairəsini təyin edin və hər bir tətbiq üçün əhatə dairəsi parametrlərini yoxlayın. ## Giriş - [ ] Əməliyyata uyğun olaraq müvafiq HTTP metodundan istifadə edin: `GET (oxu)`, `POST (yarat)`, `PUT/PATCH (dəyişiklik etmək/yeniləmək üçün)` və `DELETE (yazı silmək üçün)`, əgər istədiyiniz üsul resurs üçün uyğun deyilsə, `405 Metoduna İcazə Verilmədi` mesajı ilə cavab verin. - [ ] Qəbul başlığındakı `məzmun növü` gözlədiyiniz və icazə verdiyiniz formatda olub-olmadığını yoxlayın. (məsələn, `application/xml`, `application/json` və s.) Format uyğun gəlmirsə, `406 Qəbul Edilməz` mesajı ilə cavab verin. - [ ] Göndərilən məlumatı təsdiq edərkən, daxil olan məlumatların 'məzmun növünü' yoxlayın (məsələn, 'application/x-www-form-urlencoded', 'multipart/form-data', 'application/json' və s.). - [ ] Ümumi təhlükəsizlik zəifliklərinin qarşısını almaq üçün istifadəçidən gələn hər bir məlumatı yoxlayın (məsələn, `XSS`, `SQL-Injection`, `Remote Code Execution` və s.). - [ ] URL-də həssas datadan (`etimadnamələr`, `Parollar`, `təhlükəsizlik nişanları` və ya `API açarları`) istifadə etməyin, lakin standart Avtorizasiya başlığından istifadə edin. - [ ] Yalnız server tərəfində şifrələmədən istifadə edin. - [ ] Keşləmə və sürət limiti siyasətlərini aktivləşdirmək (məsələn, `Kvota`, `Spike Həbs`, `Paylaşım sürəti limiti`) və API resurslarını dinamik şəkildə yaymaq üçün API Gateway xidmətindən istifadə edin. ## Emal - [ ] Doğrulama yan keçməsinin qarşısını almaq üçün bütün proses son nöqtələrinin autentifikasiya arxasında qorunub-qorunmadığını yoxlayın. - [ ] İstifadəçinin öz resurs identifikatorundan istifadə etməkdən çəkinmək lazımdır. `/me/orders` əvəzinə `/user/654321/orders` istifadə edin. - [ ] Avtomatik artan ID-lərdən istifadə etməyin. Əvəzinə `UUID` istifadə edin. - [ ] XML fayllarını təhlil edirsinizsə (analiz edirsinizsə), `XXE` (XML xarici obyekt hücumu) qarşısını almaq üçün obyektin təhlilinin aktiv edilmədiyini yoxlayın. - [ ] Əgər XML fayllarını təhlil edirsinizsə (analiz edirsinizsə), `Milyard Gülüş/XML bomba` obyektinin genişləndirilməsi hücumu vasitəsilə obyektin genişlənməsinin qarşısını almaq üçün onun aktiv olmadığından əmin olun. - [ ] Fayl yükləmələri üçün CDN istifadə edin. - [ ] Böyük həcmdə məlumatlarla məşğul olursunuzsa, HTTP bloklanmasının qarşısını almaq üçün arxa planda işləmək və tez cavab vermək üçün mümkün qədər işçilərdən və növbələrdən istifadə edin. - [ ] DEBUG rejimini söndürməyi unutmayın! - [ ] Əgər varsa, icra olunmayan parçalardan istifadə edin. ## Çıxış - [ ] `X-Content-Type-Options: nosniff` başlığını göndərin. - [ ] `X-Frame-Options: rədd et` başlığını göndərin. - [ ] `Məzmun-Təhlükəsizlik-Siyasəti: default-src 'heç biri'' başlığını göndərin. - [ ] Barmaq izi başlıqlarını silin - `X-Powered-By`, `Server`, `X-AspNet-Version` və s. - [ ] Sorğuya cavab olaraq `content-type` istifadə etməyə məcbur edin, əgər məlumatları `application/json` kimi qaytarsanız, `content-type` `application/json` olmalıdır. - [ ] Nəticədə "etimadnamələr", "parollar" və ya "təhlükəsizlik nişanları" kimi həssas məlumatları göndərməyin. - [ ] Əməliyyat başa çatdıqdan sonra müvafiq status kodunu qaytarın. (məsələn, `200 OK`, `400 Bad Sorğu`, `401 İcazəsiz`, `405 Metod İcazə Verilmir` və s.). ## CI & CD - [ ] Vahid/inteqrasiya testi əhatə ölçüləri ilə dizayn və tətbiqinizi yoxlayın. - [ ] Kodun nəzərdən keçirilməsi prosesindən istifadə edin və öz təsdiqinizə məhəl qoymayın. - [ ] Kodunuzu aktivləşdirməzdən əvvəl xarici kitabxanalar və digər asılılıqlar daxil olmaqla xidmətlərinizin bütün komponentlərinin AntiVirus proqramı ilə statik olaraq skan edildiyinə əmin olun. - [ ] Davamlı olaraq kodunuzda təhlükəsizlik testlərini (statik/dinamik analiz) keçirin. - [ ] Məlum zəifliklər üçün asılılıqlarınızı (həm proqram təminatı, həm də əməliyyat sistemi) yoxlayın. - [ ] Yerləşdirmələr üçün ehtiyat həlli dizayn edin. ## İzləmə - [ ] Bütün xidmətlər və komponentlər üçün mərkəzi girişdən istifadə edin. - [ ] Bütün trafikə, səhvlərə, sorğulara və cavablara nəzarət etmək üçün agentlərdən istifadə edin. - [ ] SMS, Slack, E-poçt, Telegram, Kibana, Cloudwatch və s. xəbərdarlıqlardan istifadə edin. - [ ] Kredit kartları, parollar, PIN-lər və s. Həssas məlumatları daxil etmədiyinizə əmin olun. - [ ] API sorğularınızı və nümunələrinizi izləmək üçün IDS və/və ya IPS sistemindən istifadə edin. --- ## Əlavə resurslar: - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - RESTful HTTP + JSON API qurmaq üçün faydalı resurslar toplusu. - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # Töhfə Bu deponu budaqlamaq, bəzi dəyişikliklər etmək və pull requests göndərməklə töhfə verməkdən çəkinməyin. Hər hansı bir sual üçün bizə bir e-poçt yazın: `team@shieldfy.io`. ================================================ FILE: README-bg.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [বাংলা](./README-bn.md) | [Català](./README-ca.md) | [Čeština](./README-cs.md) | [Deutsch](./README-de.md) | [Ελληνικά](./README-el.md) | [Español](./README-es.md) | [فارسی](./README-fa.md) | [Français](./README-fr.md) | [हिंदी](./README-hi.md) | [Indonesia](./README-id.md) | [Italiano](./README-it.md) | [日本語](./README-ja.md) | [한국어](./README-ko.md) | [ພາສາລາວ](./README-lo.md) | [Македонски](./README-mk.md) | [മലയാളം](./README-ml.md) | [Монгол](./README-mn.md) | [Nederlands](./README-nl.md) | [Polski](./README-pl.md) | [Português (Brasil)](./README-pt_BR.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) # Контролен списък за сигурност на API Контролен списък с най-важните контрамерки за сигурност при проектиране, тестване и пускане на вашето API. --- ## Удостоверяване - [ ] Не използвайте `Basic Auth`. Използвайте стандартно удостоверяване. - [ ] Не преоткривайте нови начини за `удостоверяване`, `генериране на токени`, `съхранение на пароли`. Придържайте се към стандартите. - [ ] Използвайте `Max Retry` и jail функции по време на удостоверяване. - [ ] Използвайте криптиране на всички чувствителни данни. ## Достъп - [ ] Задайте ограничение за броя на заявките в минута (Throttling, RPM-Limit), за да избегнете DDoS / Brute Force атаки. - [ ] Използвайте HTTPS, от страната на сървъра, с TLS 1.2+ и сигурни шифри, за да избегнете MITM (Man in the Middle атака). - [ ] Използвайте заглавката `HSTS` (HTTP Strict Transport Security) със SSL, за да избегнете SSL Strip атаки. - [ ] Изключете списъците с директории. - [ ] За частни API, разрешете достъп само от IP адреси/хостове в белия списък. ## Упълномощаване ### OAuth - [ ] Винаги проверявайте `redirect_uri`, от страната на сървъра, за да разрешите само URL адреси от белия списък. - [ ] Винаги се опитвайте да използвате еднократен код вместо токени (не използвайте `response_type=token`). - [ ] Използвайте параметъра `state` с произволен хеш, за да предотвратите CSRF в процеса на OAuth удостоверяване. - [ ] Определете обхват по подразбиране и проверете настройките за всяко приложение. ## Заявка - [ ] Използвайте подходящият HTTP метод според операцията: `GET (четене)`, `POST (създаване)`, `PUT/PATCH (замяна/актуализация)` и `DELETE (изтриване)` и също отговорете с `405 Method Not Allowed` ако заявеният метод не е подходящ за искания ресурс. - [ ] Валидирайте `типа данни (content-type)` в заглавката `Accept` (Content Negotiation), за да позволите само поддържани формати (например: `application/xml`, `application/json` и т.н.) и отговорете с `406 Not Acceptable`, ако типът не се поддържа. - [ ] Валидирайте `типа данни (content-type)`, които получавате (например: `application/x-www-form-urlencoded`, `multipart/form-data`, `application/json` и т.н.). - [ ] Валидирайте въведеното от потребителя, за да избегнете често срещани уязвимости (например: `XSS`, `SQL-Injection`, `Remote Code Execution`и т.н.). - [ ] Не споделяйте чувствителни данни (`идентификационни данни`, `пароли`, `токени` или `API ключове`) в URL адреса, вместо това използвайте стандартната заглавка `Authorization`. - [ ] Използвайте само криптиране от страна на сървъра. - [ ] Използвайте API шлюз за да конфигурирате кеширане, ограничаване на заявките (например: `Quota`, `Spike Arrest` или `Concurrent Rate Limit`) и динамично внедряване на API. ## Обработка - [ ] Проверете, дали всички крайни точки са защитени чрез удостоверяване, за да избегнете прекъсване на процеса на удостоверяване. - [ ] Идентификаторът на собствен ресурс на потребителя, трябва да се избягва. Използвайте `/me/orders`, вместо `/user/654321/orders` - [ ] Не използвайте автоматично нарастване за ID. Вместо това използвайте `UUID`. - [ ] Ако анализирате XML файлове, уверете се, че анализът на обект е изключен, за да избегнете `XXE` (XML external entity). - [ ] Ако анализирате XML, YAML или друг език с котви и препратки, уверете се, че разширяването на обекта е изключено, за да избегнете `Billion Laughs/XML bomb` чрез атака с експоненциално разширяване на обект. - [ ] Използвайте CDN за качване на файлове. - [ ] Ако имате работа с огромно количество данни, използвайте Workers и Queues, за да обработите колкото е възможно повече, във фонов режим, и да върнете отговор бързо, за да избегнете HTTP блокиране. - [ ] Не забравяйте да изключите режима DEBUG. - [ ] Използвайте неизпълними стекове, когато има такива. ## Отговор - [ ] Изпратете заглавката `X-Content-Type-Options: nosniff`. - [ ] Изпратете заглавката `X-Frame-Options: deny`. - [ ] Изпратете заглавката `Content-Security-Policy: default-src 'none'`. - [ ] Премахнете заглавките, които биха могли да помогнат на атакуващ да провери вашия ресурс за уязвимости - `X-Powered-By`, `Server`, `X-AspNet-Version`и т.н. - [ ] Фиксирайте `content-type` за вашия отговор. Ако изпращате отговор `application/json`, то тогава заявката трябва да бъде в `application/json` - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] Не изпращайте в отговорите чувствителни данни като `идентификационни данни`, `пароли` или `токени`. - [ ] Върнете правилния код на състоянието въз основа на резултатите от операцията. (например: `200 OK`, `400 Bad Request`, `401 Unauthorized`, `405 Method Not Allowed` и т.н.). ## Непрекъсната интеграция и непрекъсната доставка (CI & CD) - [ ] Одитирайте вашия дизайн и внедрете модулни/интеграционни тестове. - [ ] Използвайте процес за преглед на кода (Code Review). Не се самоодобрявайте (no Self-Approval). - [ ] Уверете се, че вашето приложение е сканирано с антивирусен софтуер, преди да бъде пуснато в производство, включително библиотеки и други зависимости. - [ ] Непрекъснато провеждайте тестове за сигурност (статичен/динамичен анализ) на вашия код. - [ ] Проверете вашите зависимости (както софтуер, така и операционна система) за известни уязвимости. - [ ] Проектирайте решение за бързо връщане към предишната версия. ## Мониторинг - [ ] Използвайте централизирани входове за всички услуги и компоненти. - [ ] Използвайте агенти, за да наблюдавате целия трафик, грешки, заявки и отговори. - [ ] Използвайте известия за SMS, Slack, имейл, Telegram, Kibana, Cloudwatch и др. - [ ] Уверете се, че не регистрирате чувствителни данни като кредитни карти, пароли, ПИН кодове и др. - [ ] Използвайте IDS и/или IPS система за наблюдение на заявки и екземпляри на API. --- ## Вижте също: - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - Колекция от полезни ресурси за създаване на RESTful HTTP+JSON API. - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # Принос Чувствайте се свободни да допринесете, като отворите това хранилище, направите някои промени и изпратите `Pull Requests`. За всякакви въпроси, моля, пишете ни на `team@shieldfy.io`. ================================================ FILE: README-bn.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български](./README-bg.md) | [Català](./README-ca.md) | [Čeština](./README-cs.md) | [Deutsch](./README-de.md) | [Ελληνικά](./README-el.md) | [Español](./README-es.md) | [فارسی](./README-fa.md) | [Français](./README-fr.md) | [हिंदी](./README-hi.md) | [Indonesia](./README-id.md) | [Italiano](./README-it.md) | [日本語](./README-ja.md) | [한국어](./README-ko.md) | [ພາສາລາວ](./README-lo.md) | [Македонски](./README-mk.md) | [മലയാളം](./README-ml.md) | [Монгол](./README-mn.md) | [Nederlands](./README-nl.md) | [Polski](./README-pl.md) | [Português (Brasil)](./README-pt_BR.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) # API নিরাপত্তা তালিকা তালিকা করুন সবচেয়ে গুরুত্বপূর্ন নিরাপত্তা পাল্টা ব্যবস্থা যখন পরিকল্পনা, পরীক্ষামূলক, এবং নিষ্কৃতি করছেন আপনার API। --- ## প্রমাণীকরণ - [ ] `Basic Auth` ব্যাবহার করবেন না। এর পরিবর্তে standard প্রমাণীকরণ ব্যবহার করুন। - [ ] `Authentication`, `token generation`, `password storage` এ নতুন করে চাকা উদ্ভাবন করবেন না। standards গুলোই ব্যবহার করুন। - [ ] `Max Retry` এবং জেলে দেওয়া(block) বৈশিষ্ট্য সম্পূর্ণ করুন। - [ ] সংবেদনশীল তথ্য গোপন(encryption) করে ব্যবহার করন। ## অ্যাক্সেস - [ ] Requests এ সীমা দিয়ে দিন (Throttling) DDoS / brute-force আক্রমণ এড়ানোর জন্য। - [ ] সার্ভার এ HTTPS এর সাথে TLS 1.2+ এবং নিরাপদ ciphers ব্যবহার করুন MITM (Man in the Middle Attack) এড়ানোর জন্য। - [ ] `HSTS` header ব্যবহার করুন SSL এর সাছে SSL Strip আক্রমণ এড়ানোর জন্য। - [ ] Directory তালিকা দেখানো বন্ধ করুন। - [ ] ব্যক্তিগত APIs এর জন্য, শুধুমাত্র সাদা তালিকাভুক্ত IPs/hosts থেকে access গ্রহণ করুন। ## অনুমোদন ### OAuth - [ ] `redirect_uri` সব সময় সার্ভার এ যাচাই করে শুধুমাত্র সাদা তালিকাভুক্ত URLs কে গ্রহণ করবেন। - [ ] সর্বদা কোড বিনিময় করার চেষ্টা করুন, টোকেন নয় (`response_type=token` গ্রহণ করবেন না)। - [ ] OAuth অনুমোদন প্রক্রিয়া কালে CSRF আক্রমণ থেকে বাচার জন্য `state` প্যারামিটারটি সবসময় এলোমেলো hash এর সাথে বেব্যহার করবেন। - [ ] ডিফল্ট scope সংজ্ঞায়িত করুন, এবং প্রতিটি আবেদনের জন্য প্যারামিটারটি যাচাই করুন. ## ইনপুট - [ ] যথাযথ HTTP পদ্ধতি ব্যবহার করুন কাজ অনুযায়ী: `GET (পড়া)`, `POST (সৃষ্টি করা)`, `PUT/PATCH (প্রতিস্থাপন/হালনাগাদ)`, and `DELETE (মুছে ফেলা)`, এবং `405 Method Not Allowed` জবাব দেওয়া যদি resource এর সাথে উপযুক্ত না হয়। - [ ] আলাপ - আলোচনা করার সময় `content-type` টি যাচাই করুন এবং আপনার সমর্থিত বিন্যাস (যেমন, `application/xml`, `application/json`, ইত্যাদি) না হলে `406 Not Acceptable` জবাব দেওয়া। - [ ] পাঠানো তথ্য `content-type` টি যাচাই করুন এবং আপনার সমর্থিত বিন্যাস এর সাথে (যেমন, `application/x-www-form-urlencoded`, `multipart/form-data`, `application/json`, ইত্যাদি)। - [ ] সাধারণ এবং সচরাচর দুর্বলতা এড়াতে ব্যবহারকারীর ইনপুট যাচাই করা (যেমন., `XSS`, `SQL-Injection`, `Remote Code Execution`, ইত্যাদি)। - [ ] সংবেদনশীল তথ্য (`credentials`, `Passwords`, `security tokens`, or `API keys`) URL এ ব্যবহার করবেন না, কিন্তু standard Authorization header ব্যবহার করবেন। - [ ] শুধুমাত্র সার্ভার এ গোপন(encryption) প্রক্রিয়া ব্যবহার করবেন। - [ ] একটি API প্রবেশপথ সেবা ব্যবহার করবেন caching সক্রিয় করতে, হার সীমা নীতি (যেমন, `Quota`, `Spike Arrest`, or `Concurrent Rate Limit`) এবং গতিশীলভাবে APIs সংস্থান স্থাপন করুন। ## প্রক্রিয়াকরণ - [ ] ভাঙ্গা authentication প্রক্রিয়া এড়াতে সবগুলো endpoints প্রমাণীকরণ(authentication) সহ কাজ করছে কিনা তা যাচাই করুন। - [ ] ব্যবহারকারীর নিজের ID ব্যবহার করা উচিত নয়। `/user/654321/orders` না ব্যবহার করে এটা `/me/orders` ব্যবহার করুন। - [ ] auto-increment ID ব্যবহার না করে, `UUID` ব্যবহার করুন। - [ ] যদি আপনি XML তথ্য parsing করছেন, তাহলে নিশ্চিত হয়ে নিন যেন entity parsing চালু না থাকে `XXE` (XML external entity attack) আক্রমণ এড়ানোর জন্য। - [ ] যদি আপনি XML, YAML অথবা অন্য কোন ভাষা anchors এবং refs দিয়ে parsing করছেন, তাহলে নিশ্চিত হয়ে নিন যেন entity expansion চালু না থাকে `Billion Laughs/XML bomb` via exponential entity expansion আক্রমণ এড়ানোর জন্য। - [ ] CDN ব্যাবহার করুন ফাইল আপলোড এর জন্য। - [ ] যদি আপনি অনেক গুলো তথ্য নিয়ে কাজ করেন তাহলে, Workers এবং Queues পটভূমিতে যত সম্ভব ব্যবহার করুন এবং তাড়াতাড়ি প্রতিক্রিয়া জানান HTTP Blocking না করার জন্য। - [ ] DEBUG মোড বন্ধ করতে ভুলবেন না। - [ ] non-executable stacks ব্যবহার করবেন যখন সম্ভব। ## আউটপুট - [ ] `X-Content-Type-Options: nosniff` header পাঠান। - [ ] `X-Frame-Options: deny` header পাঠান। - [ ] `Content-Security-Policy: default-src 'none'` পাঠান। - [ ] Fingerprinting headers গুলো সরিয়ে দিন - `X-Powered-By`, `Server`, `X-AspNet-Version`, ইত্যাদি। - [ ] আপনার প্রতিক্রিয়ায় `content-type` থাকতে বাধ্য করুন. যদি আপনি `application/json` পাঠান, তাহলে আপনার `content-type` প্রতিক্রিয়া হবে `application/json`। - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] সংবেদনশীল তথ্য পাঠাবেন না যেমন `credentials`, `passwords`, or `security tokens`। - [ ] অপারেশন অনুযায়ী যথাযথ status code পাঠাবেন (যেমন, `200 OK`, `400 Bad Request`, `401 Unauthorized`, `405 Method Not Allowed`, ইত্যাদি)। ## CI & CD - [ ] আপনার পরিকল্পনা এবং বাস্তবায়ন যাচাই করুন unit/integration tests coverage এর সাথে। - [ ] কোড পুনঃমূল্যায়ন প্রক্রিয়া ব্যবহার করুন এবং নিজের অনুমোদন উপেক্ষা করুন। - [ ] নিশ্চিত করেন যেন আপনার সেবার সবগুলো উপাদান স্থিতিশীলভাবে AV সফটওয়্যার দ্বারা স্ক্যান করা থাকে production এ যাওয়ার আগেই, বিক্রেতা লাইব্রেরি এবং অন্যান্য নির্ভরতা সহ। - [ ] ক্রমাগত নিরাপত্তা পরীক্ষা চালান (স্থির/গতিশীল বিশ্লেষণ) আপনার কোডে। - [ ] আপনার নির্ভরতা চেক করুন (দুইটাই software এবং OS) পরিচিত দুর্বলতার জন্য। - [ ] স্থাপনার জন্য একটি রোলব্যাক সমাধান পরিকল্পনা করুন। ## মনিটরিং - [ ] সমস্ত সেবা এবং উপাদানগুলির জন্য কেন্দ্রীভূত লগইনগুলো ব্যবহার করুন৷ - [ ] ট্র্যাফিক, ত্রুটি, অনুরোধ এবং প্রতিক্রিয়াগুলো নিরীক্ষণ করতে এজেন্ট ব্যবহার করুন। - [ ] SMS, Slack, Email, Telegram, Kibana, Cloudwatch, ইত্যাদির জন্য সতর্কতা ব্যবহার করুন। - [ ] আপনি কোন সংবেদনশীল তথ্য লগ করছেন না তা নিশ্চিত করুন যেমন credit cards, passwords, PINs, ইত্যাদি। - [ ] IDS অথবা IPS পদ্ধতি ব্যবহার করুন API requests এবং instances মূল্যায়ন করতে। --- ## আরও দেখুন: - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - RESTful HTTP+JSON APIs নির্মাণ করার একটি দরকারী সংগ্রহ। - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # অবদান নিঃসঙ্কোচে repository টি fork করে অবদান রাখুন, কিছু পরিবর্তন করে এবং পুল অনুরোধ জমা দিয়ে নির্দ্বিধায় অবদান রাখুন। কোন প্রশ্নের জন্য আমাদের একটি ইমেল পাঠান `team@shieldfy.io`. ================================================ FILE: README-ca.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български](./README-bg.md) | [বাংলা](./README-bn.md) | [Čeština](./README-cs.md) | [Deutsch](./README-de.md) | [Ελληνικά](./README-el.md) | [Español](./README-es.md) | [فارسی](./README-fa.md) | [Français](./README-fr.md) | [हिंदी](./README-hi.md) | [Indonesia](./README-id.md) | [Italiano](./README-it.md) | [日本語](./README-ja.md) | [한국어](./README-ko.md) | [ພາສາລາວ](./README-lo.md) | [Македонски](./README-mk.md) | [മലയാളം](./README-ml.md) | [Монгол](./README-mn.md) | [Nederlands](./README-nl.md) | [Polski](./README-pl.md) | [Português (Brasil)](./README-pt_BR.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) # Llista de verificació de seguretat per a APIs Llista de comprovació de les contramesures de seguretat més importants a l'hora de dissenyar, provar i llançar la vostra API. --- ## Autenticació - [ ] No utilitzeu `Basic Auth`. Utilitzeu l'autenticació estàndard en el seu lloc. - [ ] No reinventeu la roda en `Autenticació`, `generació de tokens`, `emmagatzematge de contrasenyes`. Utilitzeu els estàndards. - [ ] Utilitzeu polítiques de límit de reintents (`Max Retry`) i funcionalitats de jailing al Login. - [ ] Utilitzeu el xifratge en totes les dades sensibles. ## Accés - [ ] Limiteu les sol·licituds (`Throttling`) per evitar atacs de DDoS / força bruta. - [ ] Utilitzeu HTTPS al servidor amb TLS 1.2+ i xifrats segurs per evitar atacs MITM (Man In The Middle Attack). - [ ] Utilitzeu l'encapçalament `HSTS` amb SSL per evitar atacs d'extracció SSL. - [ ] Desactiveu les llistes de directoris. - [ ] Per a les API privades, permeteu l'accés només des de IPs/hosts autoritzats. ## Autorització ### OAuth - [ ] Valideu sempre `redirect_uri` al servidor per permetre només URL autoritzades. - [ ] Intenteu canviar sempre per codi i no per tokens (no permeteu `response_type=token`). - [ ] Utilitzeu el paràmetre `state` amb un hash aleatori per evitar CSRF en el procés d'autorització d'OAuth. - [ ] Definiu l'scope per defecte i valideu els paràmetres d'scope per a cada aplicació. ## Entrada - [ ] Utilitza el mètode HTTP adequat segons l'operació: `GET (llegir)`, `POST (crear)`, `PUT/PATCH (reemplaçar/actualitzar)`, i `DELETE (eliminar)`, i respon amb `405 Method Not Allowed` si el mètode sol·licitat no és adequat per al recurs sol·licitat. - [ ] Valida el `content-type` a l'encapçalament Accept de la sol·licitud (Content Negotiation) per permetre només el teu format compatible (per exemple, `application/xml`, `application/json`, etc.) i respon amb una resposta `406 Not Acceptable` si no coincideix. - [ ] Valida el `content-type` de les dades enviades com accepteu (per exemple, `application/x-www-form-urlencoded`, `multipart/form-data`, `application/json`, etc.). - [ ] Valida l'entrada de l'usuari per evitar vulnerabilitats comunes (per exemple, `XSS`, `Injecció SQL`, `Execució de codi remot`, etc.). - [ ] No utilitzis cap dada sensible (`credentials`, `passwords`, `security tokens`, or `API keys`) a l'URL, sinó que utilitza l'encapçalament d'autorització estàndard. - [ ] Utilitza només el xifratge al servidor. - [ ] Utilitza un servei d'API Gateway per habilitar polítiques de memòria cau, polítiques de límit de taxa (per exemple, `Quota`, `Spike Arrest` o `Concurrent Rate Limit`) i desplegar recursos d'API dinàmicament. ## Processament - [ ] Comprova si tots els endpoints estan protegits darrere de l'autenticació per evitar el procés d'autenticació trencat. - [ ] S'hauria d'evitar l'ID de recurs propi de l'usuari. Utilitza `/me/orders` en lloc de `/user/654321/orders`. - [ ] No utilitzis IDs autoicrementals. Utilitza `UUID` en lloc d'això. - [ ] Si estàs analitzant dades XML, assegura't que l'anàlisi d'entitats no estigui habilitat per evitar `XXE` (XML external entity attack). - [ ] Si estàs analitzant XML, YAML o qualsevol altre llenguatge amb àncores i referències, assegura't que l'expansió d'entitats no estigui habilitada per evitar `Billion Laughs/XML bomb` a través d'un atac d'expansió d'entitats exponencial. - [ ] Utilitza un CDN per carregar fitxers. - [ ] Si estàs tractant amb una gran quantitat de dades, utilitza Workers i Queues per processar el màxim possible en segon pla i retornar una resposta ràpida per evitar el bloqueig HTTP. - [ ] No oblidis desactivar el mode DEBUG. - [ ] Utilitza stacks no executables quan estiguin disponibles. ## Sortida - [ ] Envia l'encapçalament `X-Content-Type-Options: nosniff`. - [ ] Envia l'encapçalament `X-Frame-Options: deny`. - [ ] Envia l'encapçalament `Content-Security-Policy: default-src 'none'`. - [ ] Elimina els encapçalaments d'identificació - `X-Powered-By`, `Server`, `X-AspNet-Version`, etc. - [ ] Força `content-type` per a la teva resposta. Si tornes `application/json`, llavors la teva resposta de `content-type` és `application/json`. - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] No retornis dades sensibles com `credencials`, `contrasenyes` o `tokens de seguretat`. - [ ] Retorna el codi d'estat adequat segons l'operació completada. (per exemple, `200 OK`, `400 Bad Request`, `401 Unauthorized`, `405 Method Not Allowed`, etc.). ## CI & CD - [ ] Auditora el teu disseny i implementació amb cobertura de tests unitàris i d'integració. - [ ] Utilitza un procés de revisió de codi i ignora l'autoaprovació. - [ ] Assegura't que tots els components dels teus serveis siguin escanejats estàticament per un programari AV abans de desplegar-los a producció, incloent biblioteques de tercers i altres dependències. - [ ] Executa contínuament tests de seguretat (anàlisi estàtica/dinàmica) en el teu codi. - [ ] Comprova les teves dependències (tant el programari com el sistema operatiu) per a vulnerabilitats conegudes. - [ ] Dissenyar una solució de reversió per a desplegaments. ## Monitoratge - [ ] Utilitza inicis de sessió centralitzats per a tots els serveis i components. - [ ] Utilitza agents per monitorar tot el tràfic, errors, sol·licituds i respostes. - [ ] Utilitza alertes per SMS, Slack, correu electrònic, Telegram, Kibana, Cloudwatch, etc. - [ ] Assegura't de no registrar cap dada sensible com ara targetes de crèdit, contrasenyes, PINs, etc. - [ ] Utilitza un sistema IDS i/o IPS per monitorar les teves sol·licituds d'API i instàncies. --- ## També podeu veure: - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - Una col·lecció de recursos útils per a la construcció de RESTful HTTP+JSON APIs. - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # Contribució No dubteu a contribuir fent un fork d'aquest repositori, fent alguns canvis i enviant pull requests. Per a qualsevol pregunta envia'ns un correu electrònic a `team@shieldfy.io`. ================================================ FILE: README-cs.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български](./README-bg.md) | [বাংলা](./README-bn.md) | [Català](./README-ca.md) | [Deutsch](./README-de.md) | [Ελληνικά](./README-el.md) | [Español](./README-es.md) | [فارسی](./README-fa.md) | [Français](./README-fr.md) | [हिंदी](./README-hi.md) | [Indonesia](./README-id.md) | [Italiano](./README-it.md) | [日本語](./README-ja.md) | [한국어](./README-ko.md) | [ພາສາລາວ](./README-lo.md) | [Македонски](./README-mk.md) | [മലയാളം](./README-ml.md) | [Монгол](./README-mn.md) | [Nederlands](./README-nl.md) | [Polski](./README-pl.md) | [Português (Brasil)](./README-pt_BR.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) # Seznam API zabezpečení Kontrolní seznam nejdůležitějších bezpečnostních opatření při návrhu, testování a uvolňování rozhraní API. --- ## Autentizace - [ ] Nepoužívejte `Basic Auth`. Místo toho použijte standardní ověřování. - [ ] Nevymýšlejte znovu způsoby `ověření`, `generace tokenů`, `ukládání hesel`. Držte se standardů. - [ ] Používejte u loginů funkce `Maximum Pokusů` a dočasné zablokování. - [ ] Šifrujte všecha citlivá data. ## Přístup - [ ] Omezte počet příchozích requestů (Zahlcení) aby jste předešli DDoS/brute-force útokům. - [ ] Na straně serveru používejte protokol HTTPS s protokolem TLS 1.2+ a bezpečnými šiframi, abyste se vyhnuli útoku MITM (Man in the Middle). - [ ] Použijte hlavičku `HSTS` s protokolem SSL, abyste se vyhnuli útokům SSL Strip. - [ ] Vypněte vypisování adresářů. - [ ] U privátních API povolte přístup pouze z IP adres/hostů nastavených ve whitelistu. ## Autorizace ### OAuth - [ ] Vždy ověřujte `redirect_uri` na straně serveru, abyste povolili pouze adresy URL uvedené ve whitelistu. - [ ] Vždy se snažte vyměňovat autorizační kód, ne přístupové tokeny (nepovolujte `response_type=token`). - [ ] Použijte parametr `state` s náhodným hashem, abyste zabránili CSRF v autorizačním procesu OAuth. - [ ] Definujte výchozí rozsah a ověřte parametry tohoto rozsahu pro každou aplikaci. ## Vstupy - [ ] Použijte správné metody HTTP podle operace: `GET (čtení)`, `POST (vkládání)`, `PUT/PATCH (nahrazení/update)`, a `DELETE (smazání záznamu)`, a odpovězte `405 Method Not Allowed` pokud požadovaná metoda není vhodná pro požadovaný prostředek. - [ ] Ověřte `content-type` v hlavičce požadavku Accept (Content Negotiation), abyste povolili pouze vámi podporovaný formát (např. `application/xml`, `application/json` atd.) a v případě neshody odpovězte `406 Not Acceptable`. - [ ] Ověřte typ `content-type` odesílaných dat tak, jak je přijímáte (např. `application/x-www-form-urlencoded`, `multipart/form-data`, `application/json` atd.). - [ ] Ověřujte uživatelské vstupy, abyste se vyhnuli běžným zranitelnostem (např. `XSS`, `SQL-Injection`, `Remote Code Execution` atd.). - [ ] Nepoužívejte v URL žádné citlivé údaje (`přihlašovací údaje`, `hesla`, `security tokeny` nebo `API klíče`), ale použijte standardní Authorization hlavičku. - [ ] Používejte pouze šifrování na straně serveru. - [ ] Pomocí služby API Gateway můžete povolit ukládání do mezipaměti, zásady pro omezení rychlosti (např. `Quota`, `Spike Arrest` nebo `Concurrent Rate Limit`) a dynamické nasazování prostředků API. ## Zpracování - [ ] Zkontrolujte, zda jsou všechny koncové body chráněny určitým ověřením přístupu, aby nedošlo k porušení procesu ověřování. - [ ] Neměla by se používat jednotlivá ID uživatelů. Místo `/user/654321/orders` použijte `/me/orders`. - [ ] Nepoužívejte auto-inkrementaci u ID. Použijte místo toho `UUID`. - [ ] Pokud zpracováváte XML data, ujistěte se, že není povoleno procházení jednotlivých entit, abyste se vyhnuli `XXE` (XML external entity attack). - [ ] Pokud zpracováváte XML, YAML nebo jakýkoli jiný jazyk s kotvami a odkazy, ujistěte se, že není povoleno rozšiřování entit, abyste se vyhnuli útokům jako `Billion Laughs/XML bomb` pomocí exponenciálního rozšiřování entit. - [ ] Pro nahrávání souborů používejte síť CDN. - [ ] Pokud pracujete s obrovským množstvím dat, použijte Workery a fronty, abyste jich co nejvíce zpracovali na pozadí, rychle vrátili odpověď, a vyhnuli se tak HTTP blokaci. - [ ] Nezapomeňte vypnout DEBUG režim. - [ ] Pokud je to možné používejte nespustitelné stacky (NX). ## Výstupy - [ ] V hlavičce odpovědi posílejte `X-Content-Type-Options: nosniff`. - [ ] V hlavičce odpovědi posílejte `X-Frame-Options: deny`. - [ ] V hlavičce odpovědi posílejte `Content-Security-Policy: default-src 'none'`. - [ ] Z hlavičky odpovědi odstraňte - `X-Powered-By`, `Server`, `X-AspNet-Version`, atd. - [ ] Vynuťte v odpovědi použití `content-type`. Pokud vrátíte `application/json`, potom `content-type` vaší odpovědi bude `application/json`. - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] Neposílejte v odpovědích citlivá data jako `přihlašovací údaje`, `hesla`, nebo `security tokeny`. - [ ] Posílejte správný stavový kód podle toho jak byla operace dokončena. (např. `200 OK`, `400 Bad Request`, `401 Unauthorized`, `405 Method Not Allowed`, atd.). ## CI & CD - [ ] Zkontrolujte svůj návrh a implementaci řešení jednotkovými/integračními testy. - [ ] Používejte proces kontroly kódu a to nejlépe třetí nezávislou stranou. - [ ] Zajistěte, aby všechny součásti vašich služeb byly před nasazením do produkce staticky oskenovány antivirem, včetně všech knihoven dodavatelů a dalších součástí. - [ ] Průběžně provádějte bezpečnostní testy vašeho kódu (statickou/dynamickou analýzu). - [ ] Zkontrolujte jestli používané technologie (oboje jak software tak OS) neobsahují známé zranitelnosti. - [ ] Navrhněte pro nasazený systém možnost rollbacku. ## Monitorování - [ ] Používejte centralizované přihlašovací údaje pro všechny služby a komponenty. - [ ] Používejte agenty na monitorování veškeré komunikace, errorů, requestů, a odpovědí. - [ ] Používejte upozornění pomocí SMS, Slacku, Emailu, Telegramu, Kibany, Cloudwatche, atd. - [ ] Ujistěte se, že neukládáte do logů žádné citlivé údaje, jako čísla kreditních karet, hesla, kódy PIN atd. - [ ] Ke sledování API requestů a instancí používejte systém IDS a/nebo IPS. --- ## Viz také: - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - Sbírka užitečných zdrojů pro vytváření rozhraní RESTful HTTP+JSON API. - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # Příspěvek Neváhejte přispět forknutím tohoto repozitáře, provedením nějakých změn a zasláním pull requestu. V případě jakýchkoli dotazů nám napište na e-mail `team@shieldfy.io`. ================================================ FILE: README-de.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български](./README-bg.md) | [বাংলা](./README-bn.md) | [Català](./README-ca.md) | [Čeština](./README-cs.md) | [Ελληνικά](./README-el.md) | [Español](./README-es.md) | [فارسی](./README-fa.md) | [Français](./README-fr.md) | [हिंदी](./README-hi.md) | [Indonesia](./README-id.md) | [Italiano](./README-it.md) | [日本語](./README-ja.md) | [한국어](./README-ko.md) | [ພາສາລາວ](./README-lo.md) | [Македонски](./README-mk.md) | [മലയാളം](./README-ml.md) | [Монгол](./README-mn.md) | [Nederlands](./README-nl.md) | [Polski](./README-pl.md) | [Português (Brasil)](./README-pt_BR.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) # API Security Checkliste Checkliste für die wichtigsten Sicherheitsmaßnahmen beim Designen, Testen und Veröffentlichen deiner API. --- ## Authentifizierung - [ ] Verwende kein `Basic Auth`. Nutze standardisierte Authentifizierungsmethoden. - [ ] Erfinde das Rad nicht neu für `Authentication`, `Tokengenerierung` oder `Passwort speichern`. Nutze hierfür existierende Standards. - [ ] Nutze eine `limitierte Anzahl von Anmeldeversuche` und Aussperrfunktionen (Ban, IP-Block, Permanent) im Loginprozess. - [ ] Nutze Verschlüsselung für alle sensitiven Daten. ## Zugriff - [ ] Limitiere alle Requests (Throttling), um DDoS / Brute-Force Attacken zu verhindern. - [ ] Nutze HTTPS serverseitig, um MITM (Man In The Middle Attack) zu verhindern. - [ ] Setze `HSTS` (HTTP Strict Transport Security) im Header bei SSL, um SSLStrip Attacken zu verhindern. - [ ] Deaktivieren Verzeichniseinträge. - [ ] Erlauben für private APIs den Zugriff nur von IPs/Hosts auf der Whitelist. ## Autorisierung ### OAuth - [ ] Überprüfe stets die `redirect_uri` serverseitig und erlaube nur URLs aus einer Whitelist. - [ ] Frage immer mit einem Access-Code (vom initialen Request) einen Access-Token ab (verbiete `response_type=token`). - [ ] Nutze den `state` Parameter immer mit einem zufälligem Hash, um CSRF auf den OAuth Authentifizierungsprozess zu verhindern. - [ ] Definiere einen Standard-Scope und validiere alle Scope Parameter für jede Applikation. ## Input - [ ] Nutze für Requests die passenden HTTP Methoden: `GET (Lesen)`, `POST (Erzeugen)`, `PUT/PATCH (Ersetzen/Aktualisieren)`, and `DELETE (Datensatz löschen)`, und gib `405 Method Not Allowed`, wenn die angeforderte Methode nicht auf die Ressource passt. - [ ] Validiere den `content-type` im "Accept" Header der Anfrage und erlaube nur unterstützte Formate (wie `application/xml`, `application/json`, usw). Gib den Response `406 Not Acceptable` zurück, wenn keine der übergebenen Content-Typen unterstützt wird. - [ ] Validiere den `Content-Type` im Header der Anfrage für übertragene Daten (bspw. POST oder PUT) wie bspw. `application/x-www-form-urlencoded`, `multipart/form-data`, `application/json`, usw. - [ ] Validiere immer alle Eingaben im Request und allen Parametern um allgemeine Angriffsmöglichkeiten zu verhindern (bspw. `XSS`, `SQL-Injection`, `Remote Code Execution`, usw). - [ ] Verwende niemals sensitive Daten (`Anmeldedaten`, `Passwörter`, `Security Tokens`, oder `API-Schlüssel`) in der URL, aber nutze den standardisierten "Authorization" Header. - [ ] Verwenden nur serverseitige Verschlüsselung. - [ ] Nutze ein API Gateway Service für Caching, Rate Limit Regeln (bspw. `Quota`, `Spike Arrest`, `Concurrent Rate Limit`) und der Bereitstellung dynamischer API Ressourcen. ## Verarbeitung - [ ] Überprüfe, ob alle Endpunkte mit einer Authentifizierung geschützt sind. - [ ] Nutzereigene Ressourcen-Ids sollten vermieden werden. Verwende `/me/orders` statt `/user/654321/orders`. - [ ] Verwende keine automatisch hochzählende IDs, sondern `UUID`, damit Ressourcen nicht einfach erraten werden können. - [ ] Beim Verarbeiten einer XML-Datei, sollte Entitätsverarbeitung deaktiviert sein, um `XXE` (XML External Entity Attacken) zu verhindern. - [ ] Beim Verarbeiten einer XML-Datei, sollte Entitätsexpansion deaktiviert sein, um `Billion Laughs/XML Bombe` zu verhindern. - [ ] Nutze CDN für Dateiuploads. - [ ] Wenn du eine große Menge an Daten verarbeiten musst, nutze Worker und Queues, um so viel wie möglich im Hintergrund zu verarbeiten und schnelle Antwortzeiten zu gewährleisten. - [ ] Vergiss nicht den DEBUG Modus zu deaktivieren. - [ ] Verwenden nicht ausführbare Stacks sofern verfügbar. ## Output - [ ] Sende `X-Content-Type-Options: nosniff` im Header. - [ ] Sende `X-Frame-Options: deny` im Header. - [ ] Sende `Content-Security-Policy: default-src 'none'` im Header. - [ ] Entferne Header wie `X-Powered-By`, `Server`, `X-AspNet-Version` usw, um eventuell veraltete Softwareversionen nicht zu verraten. - [ ] Sende immer einen `Content-Type` bei Antworten. Wenn du ein JSON lieferst gib als `Content-Type` `application/json` an. - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] Gib niemals sensitive Daten zurück wie `Anmeldedaten`, `Passwörter` oder `Sicherheitsschlüssel`. - [ ] Verwende immer einen passenden HTTP Statuscode je nach Status der Operation (bspw. `200 OK`, `400 Bad Request`, `401 Unauthorized`, `405 Method Not Allowed`, usw). ## Kontinuierliche Integration (CI) & Continuous Delivery (CD) - [ ] Nutze Unit- und Integrationstest und deren Abdeckung (Test Coverage), um deine Implementierungen und Design zu kontrollieren. - [ ] Nutze einen Code Review Prozess, aber bleib sachlich. - [ ] Stelle sicher, dass alle verwendeten Komponenten (Bibliotheken und alle anderen Abhängigkeiten) noch einmal statisch von einer Anti-Virus Software überprüft wurden bevor diese in die Produktionsumgebung gehen. - [ ] Führen kontinuierlich Sicherheitstests (statische/dynamische Analyse) für Ihren Code. - [ ] Überprüfen Ihre Abhängigkeiten (Software und Betriebssystem) auf bekannte Schwachstellen. - [ ] Stelle sicher, dass du im Fehlerfall auch schnell wieder den vorherigen Stand einspielen kannst (Rollback). ## Überwachung - [ ] Verwenden Sie zentralisierte Logins für alle Dienste und Komponenten. - [ ] Verwenden Sie Agenten, um den gesamten Datenverkehr, Fehler, Anfragen und Antworten zu überwachen. - [ ] Verwenden Sie Benachrichtigungen für SMS, Slack, E-Mail, Telegramm, Kibana, Cloudwatch, usw. - [ ] Stellen Sie sicher, dass Sie keine sensiblen Daten wie Kreditkarten, Passwörter, PINs, usw protokollierst. - [ ] Verwenden Sie ein IDS-System und/oder ein IPS-System um die Anforderungen und Instanzen Ihrer API zu überwachen. --- ## Siehe auch: - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - Eine Sammlung nützlicher Ressourcen für den Aufbau von RESTful HTTP+JSON APIs. - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # Contribution Du kannst gerne etwas beisteuern, indem du einen Fork dieses Repositorys erstellst, Änderungen vornimmst und dann einen Pull Request anlegst. Bei Fragen schick uns eine E-Mail an `team@shieldfy.io`. ================================================ FILE: README-el.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български](./README-bg.md) | [বাংলা](./README-bn.md) | [Català](./README-ca.md) | [Čeština](./README-cs.md) | [Deutsch](./README-de.md) | [Español](./README-es.md) | [فارسی](./README-fa.md) | [Français](./README-fr.md) | [हिंदी](./README-hi.md) | [Indonesia](./README-id.md) | [Italiano](./README-it.md) | [日本語](./README-ja.md) | [한국어](./README-ko.md) | [ພາສາລາວ](./README-lo.md) | [Македонски](./README-mk.md) | [മലയാളം](./README-ml.md) | [Монгол](./README-mn.md) | [Nederlands](./README-nl.md) | [Polski](./README-pl.md) | [Português (Brasil)](./README-pt_BR.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) # API λίστα ελέγχου ασφαλείας Λίστα με τα πιο σημαντικά μέτρα ασφαλείας στον σχεδιασμό, έλεγχο, και την έκδοση του API σας. --- ## Επικύρωση ασφαλείας (Authentication) - [ ] Μη χρησιμοποιήτε `Basic Auth`. Χρησιμοποιήστε standard authentication. - [ ] Μην προσπαθήσετε να επανεφεύρετε τον τροχό για `Authentication`, `token generation`, `password storage`. Χρησιμοποιήστε ήδη υπάρχων βιβλιοθήκες. - [ ] Χρησιμοποιήστε `Max Retry` και jail features κατά τη σύνδεση (Login). - [ ] Χρησιμοποιήστε κρυπτογράφηση (encryption) για όλα τα σημαντικά δεδομένα. ## Πρόσβαση (Access) - [ ] Περιορίστε τα αιτήματα (requests) (Throttling) για να αποφύγετε επιθέσεις DDoS / brute-force. - [ ] Χρησιμοποιήστε HTTPS στο server side για να αποφύγετε επιθέσεις MITM (Man in the Middle Attack). - [ ] Χρησιμοποιήστε `HSTS` κεφαλίδα (header) με SSL για να αποφύγετε SSL Strip επιθέσεις. - [ ] Απενεργοποιήστε τις καταχωρίσεις directory. - [ ] Για ιδιωτικά API, επιτρέπεται η πρόσβαση μόνο από IP/κεντρικούς στη λίστα επιτρεπόμενων. ## Authorization ### OAuth - [ ] Πάντα να επαληθεύετε το `redirect_uri` στο server-side και επιτρέπετε μόνο whitelisted URLs. - [ ] Πάντα να προσπαθήτε να ανταλλάσετε auth code και όχι tokens (μην επιτρέπετε `response_type=token`). - [ ] Χρησιμοποιήστε `state` παράμετρο με τυχαίο περίπλοκο κλειδί (hash) για να αποτρέψετε CSRF κατα τη διάρκεια της OAuth authentication διαδικασίας. - [ ] Ορίστε το προεπιλεγμένο πεδίο (default scope), και επικυρώστε τις παραμέτρους πεδίου (scope parameters) για κάθε εφαρμογή. ## Είσοδος δεδομένων (Input) - [ ] Χρησιμοποιήστε την κατάλληλη HTTP μέθοδο σύμφωνα με τη λειτουργία που χρειάζεστε: `GET (read)`, `POST (create)`, `PUT/PATCH (replace/update)`, και `DELETE (για διαγραφή αρχείου)`, και απαντήστε με `405 Method Not Allowed` εάν η ζητούμενη μέθοδος δεν είναι κατάλληλη για την αιτούμενη εφαρμογή. - [ ] Επικυρώστε `content-type` στη ζητούμενη Accept κεφαλίδα (Content Negotiation) για να επιτρέψετε μόνο το format που υποστηρίζετε (π.χ. `application/xml`, `application/json`, κτλ.) και απαντήστε με `406 Not Acceptable` εάν δεν το υποστηρίζετε. - [ ] Επικυρώστε `content-type` δεδομένα που στέλνετε, με τον ίδιο τρόπο όπως τα δέχεστε (π.χ. `application/x-www-form-urlencoded`, `multipart/form-data`, `application/json`, κτλ.). - [ ] Επικυρώστε την οποιαδήποτε είσοδο δεδομένων απο τους χρήστες, για να αποφύγετε τα κοινά κενά ασφαλείας (π.χ. `XSS`, `SQL-Injection`, `Remote Code Execution`, κτλ.). - [ ] Μη χρησιμοποιήτε ευαίσθητα δεδομένα (`credentials`, `Passwords`, `security tokens`, ή `API keys`) στο URL, αλλά χρησιμοποιήστε τη κοινή Authorization κεφαλίδα (standard Authorization header). - [ ] Χρησιμοποιήστε μόνο κρυπτογράφηση από την πλευρά του διακομιστή. - [ ] Χρησιμοποιήστε API Gateway service για να ενεργοποιήσετε caching, Rate Limit policies (π.χ. `Quota`, `Spike Arrest`, ή `Concurrent Rate Limit`) και κάντε deploy APIs resources δυναμικά. ## Επεξεργασία (Processing) - [ ] Ελέγξτε ότι όλα τα endpoints είναι προστατευμένα πίσω από επικύρωση ασφαλείας(authentication) για να αποφύγετε προβλήματα λανθασμένης επικύρωσης (broken authentication process). - [ ] Μη χρησιμοποιήτε το ID των χρηστών. Χρησιμοποιήστε `/me/orders` αντί `/user/654321/orders`. - [ ] Μη χρησιμοποιήτε την αυτόματη αύξηση των IDs. Χρησιμοποιήστε `UUID` αντι αυτου. - [ ] Εάν επεργάζεστε XML αρχεία, σιγουρευτείτε ότι το entity parsing δεν είναι ενεργοποιημένο, για να αποφύγετε `XXE` (επίθεση XML external entity). - [ ] Εάν επεργάζεστε XML αρχεία, σιγουρευτείτε ότι το entity expansion δεν είναι ενεργοποιημένο, για να αποφύγετε `Billion Laughs/XML bomb` δια μέσου exponential entity expansion επίθεσης. - [ ] Χρησιμοποιήστε CDN για την φόρτωση αρχείων (file uploads). - [ ] Εάν επεξεργάζεστε μεγάλο αριθμο δεδομένων, χρησιμοποιήστε Workers και Queues για να γίνετε η επεξεργασία στο background και να γίνεται η επιστροφή απάντησης πολύ πιο γρήγορα, αποφεύγοντας HTTP Blocking. - [ ] Μην ξεχνάτε να απενεργοποιήσετε το DEBUG mode. - [ ] Χρησιμοποιήστε μη εκτελέσιμες στοίβες όταν είναι διαθέσιμες. ## Αποστολή/Επιστροφή δεδομένων (Output) - [ ] Αποστέλετε `X-Content-Type-Options: nosniff` κεφαλίδα (header). - [ ] Αποστέλετε `X-Frame-Options: deny` κεφαλίδα (header). - [ ] Αποστέλετε `Content-Security-Policy: default-src 'none'` κεφαλίδα (header). - [ ] Αφαιρέστε fingerprinting κεφαλίδεs (headers) - `X-Powered-By`, `Server`, `X-AspNet-Version`, κτλ. - [ ] Εξαναγκάστε το `content-type` να υπάρχει στην απάντηση (response), εάν η απάντηση είναι `application/json` τότε η απάντηση `content-type` πρέπει να είναι `application/json`. - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] Μην επιστρέφετε ευαίσθητα δεδομένα, όπως: `credentials`, `Passwords`, ή `security tokens`. - [ ] Επιστρέψτε τον κατάλληλο κωδικό κατάστασης σύμφωνα με τη διαδικασία που ολοκληρώθηκε. (π.χ. `200 OK`, `400 Bad Request`, `401 Unauthorized`, `405 Method Not Allowed`, κτλ.). ## CI & CD - [ ] Ελέγξτε το σχεδιασμό και την κατάσταση της εφαρμογή σας με επαρκή κάλυψη τεστ Unit / integration. - [ ] Χρησιμοποιήτε code review διαδικασίες και μη δέχεστε self-approval απο την ομάδα. - [ ] Εξασφαλίστε ότι όλα τα στοιχέια των υπηρεσιών σας περνούν απο στατικό έλεγχο με AV software πριν τα αναρτήσετε στο production, συμπεριλαμβανομένου οποιασδήποτε εξωτερικής βιβλιοθήκης που μπορει να χρησιμοποιήτε. - [ ] Εκτελείτε συνεχώς δοκιμές ασφαλείας (στατική/δυναμική ανάλυση) στον κώδικά σας. - [ ] Ελέγξτε τις εξαρτήσεις σας (τόσο το λογισμικό όσο και το λειτουργικό σύστημα) για γνωστά τρωτά σημεία. - [ ] Σχεδιάστε rollback διαδικασίες για deployments. ## Παρακολούθηση - [ ] Use centralized logins for all services and components. - [ ] Use agents to monitor all traffic, errors, requests, and responses. - [ ] Use alerts for SMS, Slack, Email, Telegram, Kibana, Cloudwatch, etc. - [ ] Ensure that you aren't logging any sensitive data like credit cards, passwords, PINs, etc. - [ ] Use an IDS and/or IPS system to monitor your API requests and instances. --- ## Δείτε επίσης: - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - Λίστα με χρήσιμες πληροφορίες για τον σχεδιασμό RESTful HTTP+JSON APIs. - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # Συνεισφορά Μη διστάσετε να συμβάλλετε με το να κάνετε forking αυτό το repository, κάνοντας αλλαγές και υποβάλλοντας pull requests. Για οποιεσδήποτε ερωτήσεις στείλτε μας ένα email στο `team@shieldfy.io`. ================================================ FILE: README-es.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български](./README-bg.md) | [বাংলা](./README-bn.md) | [Català](./README-ca.md) | [Čeština](./README-cs.md) | [Deutsch](./README-de.md) | [Ελληνικά](./README-el.md) | [فارسی](./README-fa.md) | [Français](./README-fr.md) | [हिंदी](./README-hi.md) | [Indonesia](./README-id.md) | [Italiano](./README-it.md) | [日本語](./README-ja.md) | [한국어](./README-ko.md) | [ພາສາລາວ](./README-lo.md) | [Македонски](./README-mk.md) | [മലയാളം](./README-ml.md) | [Монгол](./README-mn.md) | [Nederlands](./README-nl.md) | [Polski](./README-pl.md) | [Português (Brasil)](./README-pt_BR.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) # Lista de seguridad en APIs Lista de las contramedidas de seguridad más importantes en cuanto al diseño, testing y publicación de tu API. --- ## Autenticación - [ ] No usa `Basic Auth`. Usa la autenticación estándar en su lugar. - [ ] No reinventes la rueda en `autenticación`, `generación de tokens`, `almacenamiento de contraseñas`. Usa los estándares. - [ ] Usa políticas de límite de reintentos (`Max Retry`) y funcionalidades de jailing en el Login. - [ ] Usa encriptación en toda la información que sea sensible. ## Acceso - [ ] Limita las peticiones (`Throttling`) para prevenir ataques DDoS y de fuerza bruta. - [ ] Usa HTTPS en el lado del servidor para evitar ataques MITM (Man In The Middle Attack). - [ ] Usa la cabecera `HSTS` con SSL para evitar SSL Strip attack. - [ ] Desactive las listados de directorios. - [ ] Para las API privadas, permita el acceso solo desde hosts/IP incluidos en la lista blanca. ## Autorización ### OAuth - [ ] Siempre valida `redirect_uri` en el lado del servidor para permitir sólo ciertas URLs. - [ ] Trata siempre de intercambiar código y no tokens (no permitas `response_type=token`). - [ ] Usa el parámetro `state` con un hash aleatorio para prevenir CSRF en el proceso de autenticación OAuth. - [ ] Define el ámbito (`scope`) por defecto, y valida los parámetros de ámbito para cada aplicación. ## Entradas - [ ] Usa el método HTTP apropiado a cada operación: `GET (lectura)`, `POST (creación)`, `PUT/PATCH (reemplazo/actualización)`, y `DELETE (borrado)`, y responde con `405 Method Not Allowed` si el método en la petición no es apropiado para el recurso. - [ ] Valida el `content-type` en la cabecera `Accept` de las peticiones (Content Negotiation), para permitir sólo los formatos soportados (e.g. `application/xml`, `application/json`, etc) y responde con `406 Not Acceptable` si no hay coincidencias. - [ ] Valida el `content-type` de información enviada en base a la que aceptes (e.g. `application/x-www-form-urlencoded`, `multipart/form-data`, `application/json`, etc). - [ ] Valida las entradas que realizan los usuarios para evitar ataques comunes (e.g. `XSS`, `SQL-Injection`, `Remote Code Execution`, etc). - [ ] No utilices información sensible (`credentials`, `Passwords`, `security tokens`, o `API keys`) en la URL, en su lugar usa la cabecera estándar `Authorization`. - [ ] Use solo cifrado del lado del servidor. - [ ] Usa un servicio de API Gateway para permitir almacenamiento en caché (caching), límite de peticiones (Rate Limit), Spike Arrest y el despliegue de APIs dinámicamente. ## Procesamiento - [ ] Valida que todos los endpoints estén protegidos con autenticación para evitar romper el proceso de autenticación. - [ ] Debes evitar los recursos bajo un ID de usuario. Usa `/me/orders` en lugar de `/user/654321/orders`. - [ ] No uses IDs auto incrementales. Usa `UUID` en su lugar. - [ ] Si estas procesando XML, asegúrate de deshabilitar el procesamiento de entidades para evitar ataques `XXE` (XML external entity attack). - [ ] Si estas procesando XML, YAML o algún otro lenguaje con soporte para anchors y referencias, asegúrate de deshabilitar la expansión de entidades, para evitar un ataque `Billion Laughs/XML bomb` via expansión exponencial de entidades. - [ ] Utiliza CDN para subidas de ficheros. - [ ] Si lidias con grandes cantidades de información, utiliza Workers y Colas para procesar tanto cómo sea posible en segundo plano, y devuelve una respuesta rápido para evitar un bloqueo HTTP. - [ ] No olvides deshabilitar el modo Debug. - [ ] Utilice stacks no ejecutables cuando estén disponibles. ## Salidas - [ ] Envía la cabecera `X-Content-Type-Options: nosniff`. - [ ] Envía la cabecera `X-Frame-Options: deny`. - [ ] Envía la cabecera `Content-Security-Policy: default-src 'none'`. - [ ] Elimina cabeceras que dejen huellas - `X-Powered-By`, `Server`, `X-AspNet-Version` etc. - [ ] Fuerza `content-type` para tus respuestas, si devuelves un `json` entonces tu `content-type` es `application/json`. - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] No devuelvas información sensible cómo `credenciales`, `contraseñas`, `tokens de seguridad`. - [ ] Devuelve el código HTTP acorde a la operación completada. (e.g. `200 OK`, `400 Bad Request`, `401 Unauthorized`, `405 Method Not Allowed`, etc). ## CI & CD - [ ] Audita tu diseño e implementación con tests unitarios/integración y test coverage. - [ ] Usa procesos de revisión de código y evita la auto aprobación. - [ ] Asegura que todos los componentes de tus servicios se escanean estáticamente con un software AV antes de ir a producción, incluyendo librerías de terceros y dependencias. - [ ] Ejecute continuamente pruebas de seguridad (análisis estático/dinámico) en su código. - [ ] Verifique sus dependencias (tanto software como sistema operativo) en busca de vulnerabilidades conocidas. - [ ] Diseña un proceso de `rollback` para tus `deploys`. ## Monitorear - [ ] Usa logins centralizados para todos los servicios y componentes. - [ ] Usa agentes para monitorear todo el tráfico, errores, solicitudes, y respuestas. - [ ] Usa alertas para SMS, Slack, Email, Telegram, Kibana, Cloudwatch, etc. - [ ] Asegúrese de no registrar datos confidenciales, como tarjetas de crédito, contraseñas, PIN, etc. - [ ] Use un sistema IDS y/o IPS para monitorear las solicitudes e instancias de su API. --- ## Ver también: - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - Una colección de recursos útiles para la creación de APIs RESTful HTTP+JSON. - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # Contribución Siéntete libre de contribuir haciendo un fork de éste repositorio, haciendo cambios, y enviando pull requests. Para cualquier pregunta déjanos un email en `team@shieldfy.io`. ================================================ FILE: README-fa.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български](./README-bg.md) | [বাংলা](./README-bn.md) | [Català](./README-ca.md) | [Čeština](./README-cs.md) | [Deutsch](./README-de.md) | [Ελληνικά](./README-el.md) | [Español](./README-es.md) | [Français](./README-fr.md) | [हिंदी](./README-hi.md) | [Indonesia](./README-id.md) | [Italiano](./README-it.md) | [日本語](./README-ja.md) | [한국어](./README-ko.md) | [ພາສາລາວ](./README-lo.md) | [Македонски](./README-mk.md) | [മലയാളം](./README-ml.md) | [Монгол](./README-mn.md) | [Nederlands](./README-nl.md) | [Polski](./README-pl.md) | [Português (Brasil)](./README-pt_BR.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) <div dir="rtl"> # چکلیست امنیتی API چکلیستی از مهمترین کارهای لازم برای حفظ امنیت در زمان طراحی، تست و انتشار API. --- ## احراز هویت - [ ] از `Basic Auth` یا همان `اصالتسنجی برای دسترسیهای اولیه` استفاده نکنید. به جای آن از روشهای استاندارد احراز هویت استفاده کنید. - [ ] برای کارهایی مثل `احراز هویت`، `تولید توکن` و `ذخیره پسوورد` چرخ را دوباره اختراع نکنید. از استانداردها استفاده کنید. - [ ] برای لاگین محدودیتهای `تعداد ماکسیمم تلاش مجدد` و تعداد دفعات ورود را قرار بدید. - [ ] همهی دادههای حساس را رمزگذاری کنید. ## دسترسی - [ ] رکوئستها را محدود کنید (Throttling) تا از حملات DDos یا بروتفورس جلوگیری شود. - [ ] در سمت سرور از HTTPS استفاده کنید تا از حملات مرد میانی جلوگیری شود. - [ ] از هدر `HSTS` استفاده کنید تا از حملهی SSL Strip جلوگیری شود. - [ ] لیست های دایرکتوری را خاموش کنید. - [ ] برای APIهای خصوصی، فقط از IPها/میزبانهای لیست سفید اجازه دسترسی داشته باشید. ## Authorization ### OAuth - [ ] همیشه `redirect_uri` را در سمت سرور اعتبارسنجی کنید تا تنها به URLهای مجاز اجازه داده شود. - [ ] همیشه تلاش کنید تا code را به جای token تبادل کنید (اجازه `response_type=token` را ندهید). - [ ] از پارامتر `state` با یک هش تصادفی استفاده کنید تا از CSRF روی پروسهی احراز هویت OAuth جلوگیری کنید. - [ ] مقدار scope پیشفرض را تعریف کنید و پارامترهای scope را برای هر اپلیکیشن اعتبارسنجی کنید. ## ورودی - [ ] از متد HTTP مناسب با توجه به نوع عملیات استفاده کنید: `GET` برای خواندن، `POST` برای ایجاد کردن، `PUT/PATCH` برای جایگزین یا بروزرسانی و `DELETE` برای حذف یک رکورد، و در صورتیکه متد درخواستی برای منبع درخواستشده مناسب نباشد با `405 Method Not Allowed` پاسخ بدهید. - [ ] مقدار `content-type` را در هدر Accept رکوئست (مذاکره محتوا یا Content Negotiation) اعتبارسنجی کنید تا فقط به فرمتهای مورد پشتیبانی اجازه داده شود (مثلا `application/xml`، `application/json` و ...). و در صورت عدم تطابق با یک پاسخ `406 Not Acceptable` پاسخ دهید. - [ ] مقدار `content-type` در دادهی پستشده را اعتبارسنجی کنید (مثلا `application/x-www-form-urlencoded`، `multipart/form-data`، `application/json` و ...). - [ ] ورودی کاربر را اعتبارسنجی کنید تا از آسیبپذیریهای معمول جلوگیری شود (مثلا `XSS`، `SQL-Injection` و `Remote Code Execution`). - [ ] هیچ دادهی حساسی مثل (دادههای اعتبارسنجی، پسووردها، توکنهای امنیتی یا کلیدهای API) را داخل URL قرار ندهید و از هدر Authorization استاندارد استفاده کنید. - [ ] فقط از رمزگذاری سمت سرور استفاده کنید. - [ ] از یک سرویس API Gateway استفاده کنید تا کشکردن و سیاستهای Rate Limit (مثلا `Quota`، `Spike Arrest` یا `Concurrent Rate Limit`) فعال شوند و منابع APIها را به صورت داینامیک دپلوی کنید. ## پردازش - [ ] چک کنید که تمامی endpointها توسط احراز هویت محافظت شوند تا از پروسهی احراز هویت ناقص جلوگیری شود. - [ ] از استفاده از ID ریسورس خود کاربر اجتناب کنید. به جای `user/654321/orders` از `/me/orders` استفاده کنید. - [ ] از IDهای auto-increment استفاده نکنید. به جای آن از `UUID` استفاده کنید. - [ ] اگر فایلهای XML را parse میکنید مطمئن شوید تا entity parsing غیرفعال باشد تا از `XXE` (XML External entity attack) جلوگیری شود. - [ ] اگر فایلهای XML، YAML یا هر زبان دیگری را با استفاده از anchor ها و ref ها parse میکنید، مطمئن شوید تا entity expansion غیرفعال باشد تا از `Billion Laughs/XML bomb` توسط exponential entity expansion attack جلوگیری شود. - [ ] از یک CDN برای آپلودهای فایل استفاده کنید. - [ ] اگر با مقادیر بسیار حجیمی از داده سر و کار دارید، از Workerها و Queueها استفاده کنید تا حد الامکان پردازش در بکگراند انجام شود و سریع پاسخ را برگردانید تا از HTTP Blocking جلوگیری شود. - [ ] خاموش کردن حالت DEBUG را فراموش نکنید. - [ ] در صورت وجود از پشته های غیر قابل اجرا استفاده کنید. ## خروجی - [ ] هدر `X-Content-Type-Options: nosniff` را ارسال کنید. - [ ] هدر `X-Frame-Options: deny` را ارسال کنید. - [ ] هدر `'Content-Security-Policy: default-src 'none` را ارسال کنید. - [ ] هدرهایی که به نوعی اثرانگشت برجای میگذارند را حذف کنید، مثلا `X-Powered-By`، `Server` و `X-AspNet-Version`. - [ ] مقدار `content-type` را برای پاسخ اجباری کنید. اگر `application/json` برمیگردانید، پس `content-type` پاسخ، `application/json` است. - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] اطلاعات حساس مثل `دادههای اعتبارسنجی`، `رمز های عبور` و `توکنهای امنیتی` را برنگردانید. - [ ] با توجه به عملیات انجامشده، status code مناسب را برگردانِد. مثلا `200 OK`، `400 Bad Request`، `401 Unauthorized` و `405 Method Not Allowed`. ## CI & CD - [ ] طراحی و پیاده سازی خودتان را با پوشش تستهای unit/integration بازرسی کنید. - [ ] از یک پروسهی مرور کد استفاده کنید و خود-تاییدی را نادیده بگیرید. - [ ] مطمئن شوید تا تمامی اجزای سرویسهایتان، شامل کتابخانههای استفادهشده و دیگر وابستگیها، قبل از انتشار در حالت production، به طور ایستا توسط نرمافزارهای آنتیویروس اسکن شدهاند. - [ ] به صورت پیوسته روی کدتان تستهای امنیتی (آنالیز ایستا و پویا)، اجرا کنید. - [ ] وابستگیهایتان (نرم افزار و سیستم عامل، هردو) را برای آسیبپذیریهای شناخته شده، چک کنید. - [ ] برای دپلویهایتان، یک راهحل با قابلیت عقبگرد (rollback) طراحی کنید. ## Monitoring - [ ] از لاگین های متمرکز برای همه سرویس ها و مؤلفه ها استفاده کنید. - [ ] از agent ها برای مانیتور همه ترافیک, خطاها, درخواستها و پاسخها استفاده کنید. - [ ] از alert ها برای اس ام اس, Slack, ایمیل, Telegram, Kibana, Cloudwatch و غیره استفاده کنید. - [ ] اطمینان حاصل کنید که هیچ گونه داده حساسی مانند کارت های اعتباری، رمزهای عبور، پین ها و غیره را ثبت نمی کنید. - [ ] از یک سیستم IDS و/یا IPS برای مانیتور درخواست ها API و نمونه های خود استفاده کنید. --- ## نگاهی بیاندازید به: - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - یک مجموعه از منابع مفید برای ساختن APIهای RESTful با HTTP و JSON - - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # مشارکت برای همکاری و کمک میتوانید به راحتی این مخزن را fork کنید، تغییرات مورد نظرت را اعمال کنید و یک pull request ثب کنید. اگر سوالی داشتید به آدرس `team@shieldfy.io` ایمیل بزنید. </div> ================================================ FILE: README-fr.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български](./README-bg.md) | [বাংলা](./README-bn.md) | [Català](./README-ca.md) | [Čeština](./README-cs.md) | [Deutsch](./README-de.md) | [Ελληνικά](./README-el.md) | [Español](./README-es.md) | [فارسی](./README-fa.md) | [हिंदी](./README-hi.md) | [Indonesia](./README-id.md) | [Italiano](./README-it.md) | [日本語](./README-ja.md) | [한국어](./README-ko.md) | [ພາສາລາວ](./README-lo.md) | [Македонски](./README-mk.md) | [മലയാളം](./README-ml.md) | [Монгол](./README-mn.md) | [Nederlands](./README-nl.md) | [Polski](./README-pl.md) | [Português (Brasil)](./README-pt_BR.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) # API Security Checklist Checklist des points de sécurité les plus importants lors de la conception, du test et de la mise en production de votre API. --- ## Authentification - [ ] Ne pas utiliser une authentification basique http (`Basic Auth`) mais plutôt un standard d'authentification. - [ ] Ne pas réinventer la roue lors de `l'authentification`, `la génération de token`, `le stockage de mots de passe` mais utiliser les standards. - [ ] Lors de l'authentification, mettre en place les fonctionnalités de bannissement (`jail`) avec des seuils de tentatives maximales (`Max Retry`). - [ ] Chiffrer toutes les données sensibles. ## Accès - [ ] Limiter le nombre de requêtes (limitation de bande passante) pour éviter les dénis de service et les attaques par force brute. - [ ] Utiliser le protocole HTTPS côté serveur afin d'éviter les attaques de l'homme du milieu (MITM). - [ ] Utiliser les entêtes `HSTS` avec SSL pour éviter les attaques SSL Strip. - [ ] Désactiver les listes du répertoires. - [ ] Pour les API privées, n'autorisez l'accès qu'à partir d'adresses IP/hôtes sur liste blanche. ## Autorisation ### OAuth - [ ] Toujours valider la redirection d'uri (`redirect_uri`) côté serveur afin d'accéder uniquement aux URLs autorisées. - [ ] Toujours utiliser un échange de code plutôt que des tokens (ne pas autoriser `response_type=token`). - [ ] Utiliser le paramètre d'état (`state`) avec un hash aléatoire pour prévenir les CSRF sur le processus d'authentification OAuth. - [ ] Définir la portée par défaut et valider le paramètre de portée pour chaque application. ## Entrées - [ ] Utiliser la bonne méthode en fonction de l'opération, `GET (lire)`, `POST (créer)`, `PUT (remplacer/mettre à jour)` et `DELETE (pour supprimer un enregistrement)`. - [ ] Valider le `content-type` dans l'en-tête HTTP des requêtes (négociation de contenu) pour n'autoriser que les formats supportés (e.g. `application/xml`, `application/json`, etc…) et renvoyer une réponse `406 Not Acceptable` si ça ne correspond pas. - [ ] Valider le `content-type` des données postées avec celles acceptées (e.g. `application/x-www-form-urlencoded`, `multipart/form-data, application/json`, etc…). - [ ] Valider les entrées utilisateur pour éviter les vulnérabilités classiques (e.g. `XSS`, `SQL-Injection`, `Remote Code Execution`, etc…). - [ ] N'utiliser aucune donnée sensible (`identifiants`, `mots de passe`, `tokens de sécurité`, ou `clés d'API`) dans l'URL, mais utiliser les en-têtes d'autorisations standards. - [ ] Utiliser uniquement le chiffrement côté serveur. - [ ] Utiliser un service de passerelle d'API afin d'obtenir la mise en cache, une limitation de la saturation des ressources, la gestion des pics d'activités et le déploiement automatique des ressources. ## Traitement - [ ] Vérifier qu'aucun point d'entrée dans l'application n'échappe à l'authentification. - [ ] Éviter l'utilisation des identifiants de ressource utilisateur. Préférer `/me/orders` au lieu de `/user/654321/orders` - [ ] Ne pas utiliser d'identifiant auto-incrémenté mais plutôt des `UUID`. - [ ] Dans le cas du traitement de fichiers XML, être sûr que l'analyse des entités n'est pas activée par défaut afin d'éviter les failles `XXE` (XML external entity attack). - [ ] Dans le cas du traitement de fichiers XML, être sûr que l'expansion des entités n'est pas activée par défaut afin d'éviter les `Billion Laughs/XML bomb` (exponential entity expansion attack). - [ ] Utiliser les réseaux de diffusion de contenu (CDN) pour l'envoie de fichier. - [ ] Dans le cas du traitement d'importantes quantités de données, utiliser des Workers et des Queues pour retourner les réponses rapidement et éviter un blocage HTTP. - [ ] Ne pas oublier de désactiver le mode DEBUG. - [ ] Utiliser des piles non exécutables lorsqu'elles sont disponibles. ## Sorties - [ ] Envoyer l'en-tête `X-Content-Type-Options: nosniff`. - [ ] Envoyer l'en-tête `X-Frame-Options: deny`. - [ ] Envoyer l'en-tête `Content-Security-Policy: default-src 'none'`. - [ ] Supprimer les en-têtes d'empreinte - `X-Powered-By`, `Server`, `X-AspNet-Version`, etc… - [ ] Imposer le `content-type` des réponses, si la réponse est du `application/json` alors l'en-tête `content-type` est `application/json`. - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] Ne pas retourner de données sensibles dans les réponses `identifiants`, `mots de passe`, `tokens de sécurité`. - [ ] Retourner un code de statuts en adéquation avec l'opération effectuée. (e.g. `200 OK`, `400 Bad Request`, `401 Unauthorized`, `405 Method Not Allowed`, etc…). ## CI & CD - [ ] Vérifiez votre conception et votre implémentation avec une couverture des tests unitaires et d'intégration. - [ ] Utilisez un processus de revue de code et ignorez l'auto-approbation. - [ ] Assurez-vous que tous les composants de vos services sont scannés par un logiciel anti-virus avant la mise en production, ainsi que les bibliothèques tierces et autres dépendances. - [ ] Exécutez en continu des tests de sécurité (analyse statique/dynamique) sur votre code. - [ ] Vérifiez vos dépendances (logiciel et système d'exploitation) pour les vulnérabilités connues. - [ ] Concevez une solution de rollback pour les déploiements. ## Surveillance - [ ] Utilisez des connexions centralisées pour tous les services et composants. - [ ] Utilisez des agents pour surveiller tout le trafic, les erreurs, les requêtes, et les réponses. - [ ] Utilisez des alertes pour SMS, Slack, Email, Telegram, Kibana, Cloudwatch, etc. - [ ] Assurez-vous que vous n'enregistrez aucune donnée sensible comme les cartes de crédit, les mots de passe, les codes PIN, etc. - [ ] Utilisez un système IDS et/ou IPS pour surveiller vos requêtes et instances d'API. --- ## Voir également : - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - Une collection de ressources utiles pour créer des API RESTful HTTP+JSON. - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # Contribution N'hésitez pas à contribuer en forkant ce dépôt, faire quelques changements, et soumettre une pull request. Pour toute question, envoyez un courriel à `team@shieldfy.io`. ================================================ FILE: README-hi.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български](./README-bg.md) | [বাংলা](./README-bn.md) | [Català](./README-ca.md) | [Čeština](./README-cs.md) | [Deutsch](./README-de.md) | [Ελληνικά](./README-el.md) | [Español](./README-es.md) | [فارسی](./README-fa.md) | [Français](./README-fr.md) | [Indonesia](./README-id.md) | [Italiano](./README-it.md) | [日本語](./README-ja.md) | [한국어](./README-ko.md) | [ພາສາລາວ](./README-lo.md) | [Македонски](./README-mk.md) | [മലയാളം](./README-ml.md) | [Монгол](./README-mn.md) | [Nederlands](./README-nl.md) | [Polski](./README-pl.md) | [Português (Brasil)](./README-pt_BR.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) # API सुरक्षा जांच-सूची अपने API को डिजाइन करने, परीक्षण करने और जारी करने के दौरान सबसे महत्वपूर्ण सुरक्षा प्रतिवाद की जांच सूची| --- ## प्रमाणीकरण (Authentication) - [ ] `बेसिक एथ` का उपयोग मानक प्रमाणन का उपयोग न करें (जैसे। - [ ] `प्रमाणीकरण`, `टोकन पीढ़ी`, `पासवर्ड भंडारण` में पहिया को फिर से न बदलें। मानकों का उपयोग करें। - [ ] लॉग इन में `मैक्स पुन: प्रयास` और `जेल` सुविधाओं का उपयोग करें। - [ ] सभी संवेदनशील डेटा पर एन्क्रिप्शन का उपयोग करें। ## Access - [ ] DDOS / ब्रूट-फॉरेस्ट हमलों से बचने के लिए सीमा अनुरोध (थ्रोटलिंग)। - [ ] MITM (मैन इन द मिडल अटैक) से बचने के लिए सर्वर साइड पर HTTPS का उपयोग करें। - [ ] SSL strip हमले से बचने के लिए SSL के साथ HSTS हैडर का उपयोग करें। - [ ] निर्देशिका लिस्टिंग बंद करें। - [ ] निजी API के लिए, केवल श्वेतसूची वाले IP/होस्ट से ही एक्सेस की अनुमति दें। ## Authorization ### OAuth - [ ] केवल व्हाइटलिस्ट किए गए URL को अनुमति देने के लिए हमेशा `redirect_uri` सर्वर-पक्ष को मान्य करें। - [ ] हमेशा कोड के लिए आदान-प्रदान करने की कोशिश नहीं करें और टोकन न दें (`response_type=token` की अनुमति न दें) - [ ] OAuth प्रमाणीकरण प्रक्रिया पर CSRF को रोकने के लिए एक यादृच्छिक हैश के साथ `state` पैरामीटर का उपयोग करें। - [ ] डिफ़ॉल्ट स्कोप को परिभाषित करें, और प्रत्येक एप्लिकेशन के लिए स्कोप मापदंडों को मान्य करें। ## Input - [ ] ऑपरेशन के अनुसार उचित HTTP विधि का प्रयोग करें: अनुरोधित विधि है, अगर `GET (पढ़ें)`, `पोस्ट (बनाएं)`, `पुट / पैच (प्रतिस्थापित / अद्यतन)`, और `हटाएं (रिकॉर्ड को हटाने के लिए)`, और `405 Method Not Allowed` के साथ प्रतिक्रिया न दें अनुरोधित संसाधन के लिए उचित नहीं है - [ ] अनुरोध पर `content-type` मान्य करें केवल अपने समर्थित प्रारूप (जैसे `application/xml`, `application/json`, आदि) को अनुमति देने के लिए हेडर (सामग्री वार्ता-Content Negotiation) स्वीकार करें और `406 Not Acceptable` करें यदि स्वीकार्य न हो तो। - [ ] जैसा कि आप स्वीकार करते हैं, उतनी ही पोस्ट की गई `content-type` की पुष्टि करें (जैसे `application/x-www-form-urlencoded`, `multipart/form-data`, `application/json`, इत्यादि)। - [ ] सामान्य कमजोरियों (जैसे `XSS`, `SQL-Injection`, `Remote Code Execution`, आदि) से बचने के लिए उपयोगकर्ता इनपुट मान्य करें। - [ ] URL में किसी भी संवेदनशील डेटा (`credentials`, `Passwords`, `security tokens`, या `API keys`) का उपयोग न करें, लेकिन मानक प्राधिकरण शीर्ष लेख का उपयोग करें। - [ ] केवल सर्वर-साइड एन्क्रिप्शन का उपयोग करें। - [ ] कैशिंग, दर सीमा नीतियों (`Quota`, `Spike Arrest`, `Concurrent Rate Limit`) को सक्षम करने के लिए API गेटवे सेवा का उपयोग करें और गतिशील रूप से API संसाधनों की तैनाती करें। ## Processing - [ ] जांचें कि क्या सभी समापन बिंदुओं को टूटा प्रमाणीकरण प्रक्रिया से बचने के लिए प्रमाणीकरण के पीछे सुरक्षित किया गया है या नहीं। - [ ] उपयोगकर्ता के स्वयं के संसाधन आईडी से बचना चाहिए। `/user/654321/orders` के बजाय `/me/orders` का उपयोग करें। - [ ] auto-increment आईडी न करें। बजाय यूयूआईडी का प्रयोग करें। - [ ] यदि आप XML फ़ाइलों को पार्स कर रहे हैं, तो सुनिश्चित करें कि इकाई पार्सिंग XXE (XML external entity attack) से बचने के लिए सक्षम है। - [ ] यदि आप XML फ़ाइलों को पार्स कर रहे हैं, तो सुनिश्चित करें कि `Billion Laughs/XML bomb` (exponential entity expansion attack) के हमले से बचने के लिए सक्षम है। - [ ] फ़ाइल अपलोड के लिए CDN का उपयोग करें। - [ ] यदि आप बड़ी मात्रा में डेटा के साथ काम कर रहे हैं, तो Workers और Queues का उपयोग पृष्ठभूमि में यथासंभव प्रक्रिया करने के लिए और HTTP अवरोधन(Blocking) से बचने के लिए तेज़ी से return response करें। - [ ] DEBUG मोड बंद करने के लिए मत भूलना। - [ ] उपलब्ध होने पर गैर-निष्पादन योग्य stack का उपयोग करें। ## Output - [ ] `X-Content-Type-Options: nosniff` हेडर भेजें। - [ ] `X-Frame-Options: deny`हेडर भेजें। - [ ] `Content-Security-Policy: default-src 'none'`हेडर भेजें। - [ ] `X-Powered-By`, `Server`, `X-AspNet-Version` फिंगरप्रिंटिंग हेडर हटाएं। - [ ] आपकी प्रतिक्रिया के लिए `content-type` को बल दें, यदि आप `application/json` वापस करते हैं तो आपकी प्रतिक्रिया `content-type` `application/json` है। - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] `credentials`, `Passwords`, `security tokens` जैसे संवेदनशील डेटा वापस न करें। - [ ] ऑपरेशन के अनुसार उचित स्थिति कोड वापस करें। (जैसे `200 OK`, `400 Bad Request`, `401 Unauthorized`, `405 Method Not Allowed`, आदि)। ## CI & CD - [ ] unit/integration परीक्षण कवरेज के साथ अपने डिजाइन और कार्यान्वयन की जांच करें। - [ ] कोड समीक्षा प्रक्रिया का उपयोग करें और स्वयं-स्वीकृति की उपेक्षा करें। - [ ] सुनिश्चित करें कि आपकी सेवाओं के सभी components को AV सॉफ्टवेयर द्वारा स्कैन करने से पहले उत्पादक को push. vendor libraries और अन्य dependencies शामिल हैं। - [ ] अपने कोड पर लगातार सुरक्षा परीक्षण (स्थिर/गतिशील विश्लेषण) चलाएं। - [ ] ज्ञात कमजोरियों के लिए अपनी निर्भरता (सॉफ्टवेयर और ओएस दोनों) की जाँच करें। - [ ] तैनाती के लिए एक रोलबैक समाधान तैयार करें। ## Monitoring - [ ] Use centralized logins for all services and components. - [ ] Use agents to monitor all traffic, errors, requests, and responses. - [ ] Use alerts for SMS, Slack, Email, Telegram, Kibana, Cloudwatch, etc. - [ ] Ensure that you aren't logging any sensitive data like credit cards, passwords, PINs, etc. - [ ] Use an IDS and/or IPS system to monitor your API requests and instances. --- ## यह भी देखें: - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) RESTful HTTP+JSON APIs के निर्माण के लिए उपयोगी संसाधनों का संग्रह। - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # योगदान इस रिपोजिटरी contribute, कुछ बदलाव करने और pull request सबमिट करने में योगदान करने के लिए स्वतंत्र महसूस करें। किसी भी प्रश्न के लिए हमें `team@shieldfy.io` पर एक ईमेल है। ================================================ FILE: README-id.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български](./README-bg.md) | [বাংলা](./README-bn.md) | [Català](./README-ca.md) | [Čeština](./README-cs.md) | [Deutsch](./README-de.md) | [Ελληνικά](./README-el.md) | [Español](./README-es.md) | [فارسی](./README-fa.md) | [Français](./README-fr.md) | [हिंदी](./README-hi.md) | [Italiano](./README-it.md) | [日本語](./README-ja.md) | [한국어](./README-ko.md) | [ພາສາລາວ](./README-lo.md) | [Македонски](./README-mk.md) | [മലയാളം](./README-ml.md) | [Монгол](./README-mn.md) | [Nederlands](./README-nl.md) | [Polski](./README-pl.md) | [Português (Brasil)](./README-pt_BR.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) # Checklist Keamanan API Checklist penanggulangan keamanan yang paling penting ketika merancang, menguji, dan melepaskan API ke khalayak --- ## Autentikasi - [ ] Jangan gunakan `Basic Auth`. Gunakan autentikasi baku. - [ ] Gunakan mekanisme baku untuk `autentikasi`, `pembuatan token`, dan `penyimpanan kata sandi`. - [ ] Gunakan maksimal percobaan berulang dan fitur penjara pada Login. - [ ] Gunakan enkripsi untuk seluruh data sensitif. ## Akses - [ ] Batasi permintaan (_throttling_) di sisi peladen untuk menghindari serangan yang dapat melumpukan sistem (Contoh: DDoS, serangan paksa). - [ ] Gunakan HTTPS di sisi peladen untuk menghindari serangan pencegatan / MItM (Man In The Middle Attack). - [ ] Gunakan tajuk `HSTS` pada SSL untuk mencegah serangan SSL Strip. - [ ] Matikan daftar direktori. - [ ] Untuk API pribadi, izinkan akses hanya dari IP/host yang masuk daftar putih. ## Otorisasi ### OAuth - [ ] Selalu validasi `redirect_uri` di sisi peladen sehingga hanya URL-URL yang ada di dalam daftar putih yang boleh digunakan. - [ ] Selalu coba untuk mempertukarkan kode bukan token (jangan ijinkan `response_type=token`). - [ ] Gunakan parameter `state` dengan campuran nilai acak (_random hash_) untuk mencegah CSRF pada proses autentikasi. - [ ] Tetapkan cakupan baku dan validasi parameter cakupan untuk setiap aplikasi. ## Masuk - [ ] Gunakan metode HTTP yang sesuai dengan operasi yang digunakan, `GET untuk membaca catatan`, `POST untuk membuat catatan baru`, `PUT/PATCH untuk mengganti secara keseluruhan/mengubah sebagian catatan`, `DELETE untuk menghapus catatan` dan tanggapan `405 Method Not Allowed` jika metode permintaan tidak dikenali pada sumber daya. - [ ] Validasi `content-type` pada tajuk _Accept_ pada permintaan (Negosiasi konten) sehingga hanya mengijinkan format yang dikenali (Contoh: `application/xml`, `application/json`, dan lain sebagainya). Berikan tanggapan `406 Not Acceptable` jika nilai tajuk _Accept_ tidak dikenali. - [ ] Validasi `content-type` dari data yang dipos oleh pengguna (Contoh: `application/x-www-form-urlencoded`, `multipart/form-data`, `application/json`, dan lain sebagainya). - [ ] Validasi masukan dari pengguna untuk menghindari kerentanan umum (Contoh: `XSS`, `SQL-Injection`, `Remote Code Execution`, dan lain sebagainya). - [ ] Jangan gunakan data sensitif seperti `kredensial`, `kata sandi`, `token keamanan`, atau `kunci API` pada URL. Gunakan tajuk _Authorization_ baku. - [ ] Gunakan hanya enkripsi sisi server. - [ ] Gunakan layanan pintu gerbang API (_API Gateway_) untuk memungkinan singgahan, pembatasan laju, pendeteksian lalu lintas tinggi, dan penyebaran sumber daya API secara dinamis. ## Pemrosesan - [ ] Cek apakah seluruh titik akhir terlindungi oleh autentikasi untuk menghindari proses autentikasi yang rusak. - [ ] Sumber daya ID kepunyaan pengguna sebaiknya dihindari. Lebih baik menggunakan`/me/orders` daripada `/user/654321/orders`. - [ ] Jangan gunakan ID yang bertambah secara otomatis. Sebaiknya gunakan `UUID`. - [ ] Jika hendak menguraikan berkas XML, pastikan penguraian entitas tidak diaktikan untuk menghindari serangan `XXE` (XML External Entity). - [ ] Jika hendak menguraikan berkas XML, pastikan perluasan entitas tidak diaktifkan untuk menghindari `Billion Laughs/XML bomb` melalui serangan perluasan entitas eksponensial. - [ ] Gunakan CDN untuk unggah berkas. - [ ] Jika berhubungan dengan jumlah data yang sangat besar, gunakan Pekerja dan Antrian untuk memproses sebanyak mungkin di balik layar dan kembalikan tanggapan cepat untuk menghindari pemblokiran HTTP. - [ ] Jangan lupa untuk mematikan mode DEBUG. - [ ] Gunakan stack yang tidak dapat dieksekusi jika tersedia. ## Keluaran - [ ] Kirim tajuk `X-Content-Type-Options: nosniff`. - [ ] Kirim tajuk `X-Frame-Options: deny`. - [ ] Kirim tajuk `Content-Security-Policy: default-src 'none'`. - [ ] Hapus tajuk sidik jari - `X-Powered-By`, `Server`, `X-AspNet-Version` dan lain sebagainya. - [ ] Paksa `content-type` pada tanggapan. Jika mengambalikan `application/json` maka tajuk `content-type` adalah `application/json`. - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] Jangan kembalikan data sensitif seperti `kredensial`, `kata sandi`, dan `token keamanan`. - [ ] Kembalikan kode status yang layak sesuai dengan operasi yang diselesaikan (Contoh: `200 OK`, `400 Bad Request`, `401 Unauthorized`, `405 Method Not Allowed`, dan lain sebagainya). ## CI & CD - [ ] Audit rancangan dan pelaksanaan dengan pengujian unit/integrasi. - [ ] Gunakan proses ulasan kode dan kesampingkan persetujuan sendiri. - [ ] Pastikan seluruh komponen layanan dipindai secara statis menggunakan anti virus sebelum didorong ke lingkungan produksi, termasuk pustaka-pustaka milik vendor dan ketergantungan lainnya. - [ ] Jalankan uji keamanan (analisis statis/dinamis) secara terus-menerus pada kode Anda. - [ ] Memeriksa dependensi Anda (perangkat lunak dan OS) untuk mengetahui kerentanannya. - [ ] Rancang solusi kembali ke versi sebelumnya pada proses penyebaran. ## Pemantauan - [ ] Gunakan login terpusat untuk semua layanan dan komponen. - [ ] Gunakan agen untuk memantau semua lalu lintas, kesalahan, permintaan, dan respons. - [ ] Gunakan peringatan untuk SMS, Slack, Email, Telegram, Kibana, Cloudwatch, dll. - [ ] Pastikan Anda tidak mencatat data apapun yang sensitif, seperti kartu kredit, kata sandi, PIN, dll. - [ ] Gunakan sistem IDS dan/atau IPS untuk memantau permintaan dan instans API Anda. --- ## Lihat juga: - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - Kumpulan sumber yang berguna untuk membangun API RESTful HTTP+JSON. - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # Kontribusi Silahkan berkontribusi dengan cara menduplikasi repositori ini, lakukan perubahan, dan kirimkan PR. Jika ada pertanyaan silakan kirim email ke `team@shieldfy.io`. ================================================ FILE: README-it.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български](./README-bg.md) | [বাংলা](./README-bn.md) | [Català](./README-ca.md) | [Čeština](./README-cs.md) | [Deutsch](./README-de.md) | [Ελληνικά](./README-el.md) | [Español](./README-es.md) | [فارسی](./README-fa.md) | [Français](./README-fr.md) | [हिंदी](./README-hi.md) | [Indonesia](./README-id.md) | [日本語](./README-ja.md) | [한국어](./README-ko.md) | [ພາສາລາວ](./README-lo.md) | [Македонски](./README-mk.md) | [മലയാളം](./README-ml.md) | [Монгол](./README-mn.md) | [Nederlands](./README-nl.md) | [Polski](./README-pl.md) | [Português (Brasil)](./README-pt_BR.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) # Checklist per la sicurezza delle API Una checklist per le più importanti contromisure da mettere in pratica quando strutturiamo, testiamo e rilasciamo le nostre API. --- ## Autenticazione - [ ] Non usare la `Basic Auth` Utilizzare piuttosto dei sistemi standard di identificazione. - [ ] Non re-inventarsi sistemi di `autenticazione`, `generazione token`, `salvataggio password`. Utilizzare gli standard. - [ ] Utilizzare `Max Retry` e le jail features per il Login. - [ ] Utilizzare la cifratura per tutti i dati sensibili. ## Accesso - [ ] Limitare le richieste (Throttling) per evitare attacchi DDoS o brute-force. - [ ] Utilizzare il protocollo HTTPS per evitare attacchi MITM (Man In The Middle Attack). - [ ] Utilizzare l'header `HSTS` per evitare attacchi SSL Strip. - [ ] Disattiva gli elenchi di directory. - [ ] Per le API private, consenti l'accesso solo da IP/host nella whitelist (lista bianca). ## Autorizzazione ### OAuth - [ ] Validare sempre il valore di `redirect_uri` lato server permettendo solo url verificati nella whitelist. - [ ] Tentare sempre lo scambio attraverso il codice e non tramite token (non permettere `response_type=token`). - [ ] Utilizzare il parametro `state` con un hash random per prevenire il CSRF durante il processo di autenticazione OAuth. - [ ] Definire lo scope di default e validare i parametri dello scope per ogni singola applicazione. ## Input - [ ] Utilizzare il metodo HTTP appropriato in base all'azione: `GET (lettura)`, `POST (scrittura)`, `PUT/PATCH (sostituzione/modifica)`, e `DELETE (cancellazione)`, e rispondere con uno status `405 Method Not Allowed` se il metodo della richiesta non è appropriato. - [ ] Validare il `content-type` rispetto all' Accept header (Content Negotiation) per consentire solo i formati supportati (es. `application/xml`, `application/json`, ecc.) e rispondere con un `406 Not Acceptable` se la risposta non coincide. - [ ] Validare il `content-type` in base alle strutture accettate (es. `application/x-www-form-urlencoded`, `multipart/form-data`, `application/json`, ecc.). - [ ] Validare sempre gli input dell'utente per evitare attacchi comuni (es. `XSS`, `SQL-Injection`, `Remote Code Execution`, ecc.). - [ ] Non utilizzare mai dati sensibili (`credenziali`, `password`, `security tokens`, o `API keys`) nell'url, utilizzare piuttosto gli Authorization header. - [ ] Utilizzare solo la crittografia lato server. - [ ] Utilizzare un gateway per abilitare il caching delle API, con sistema di controllo delle chiamate (es. `Quota`, `Spike Arrest`, `Concurrent Rate Limit`). ## Processing - [ ] Verificare che tutti gli endpoints siano protetti dal sistema di autenticazione, per evitare eventuali falle. - [ ] L'ID dell'utente corrente andrebbe sempre evitato nelle url. Utilizzare ad esempio `/me/orders` piuttosto che `/user/654321/orders`. - [ ] Non ricorrere all'autoincremento di un ID. Utilizzare piuttosto un `UUID`. - [ ] Se stai effettuando il parsing di un file XML, controlla che l'entity parsing non sia attiva per evitare `XXE` (XML external entity attack). - [ ] Se stai effettuando il parsing di un file XML, controlla che l'entity expansion non sia attiva per evitare il `Billion Laughs/XML bomb`. - [ ] Utilizzare una CDN per l'upload dei file. - [ ] Se stai gestendo grandi moli di dati, utilizza Workers e Queues per processare i dati in background evitando che la chiamata HTTP vada in blocco. - [ ] Ricordarsi sempre di disattivare le eventuali modalità di DEBUG. - [ ] Utilizzare stack non eseguibili quando disponibili. ## Output - [ ] Inviare l'header `X-Content-Type-Options: nosniff`. - [ ] Inviare l'header `X-Frame-Options: deny`. - [ ] Inviare l'header `Content-Security-Policy: default-src 'none'`. - [ ] Rimuovere header che permettono il riconoscimento - `X-Powered-By`, `Server`, `X-AspNet-Version` ecc. - [ ] Forzare il `content-type` nella chiamata di risposta: se per esempio viene ritornato un `application/json` forzare il `content-type` a `application/json`. - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] Non ritornare mai dati sensibili come `credenziali`, `password`, `security tokens`. - [ ] Ritornare sempre lo status code corretto in base all'esito della chiamata. (es. `200 OK`, `400 Bad Request`, `401 Unauthorized`, `405 Method Not Allowed`, ecc). ## CI & CD - [ ] Verificare il design attraverso gli unit/integration tests. - [ ] Definire e utilizzare una procedura di code review per il rilascio, evitando l'auto approvazione. - [ ] Verificare che tutti i componenti dei servizi siano controllati da software AV prima di essere messi in produzione, incluse le librerie di terze parti. - [ ] Esegui continuamente test di sicurezza (analisi statica/dinamica) sul tuo codice. - [ ] Controlla le tue dipendenze (sia software che sistema operativo) per le vulnerabilità note. - [ ] Definire una strategia di rollback per il deploy. ## Monitoraggio - [ ] Utilizza accessi centralizzati per tutti i servizi e i componenti. - [ ] Utilizza gli agenti per monitorare tutto il traffico, gli errori, le richieste, e le risposte. - [ ] Utilizza gli avvisi per SMS, Slack, Email, Telegram, Kibana, Cloudwatch, ecc. - [ ] Assicurati di non registrare dati sensibili come carte di credito, password, PIN, ecc. - [ ] Utilizza un sistema IDS e/o IPS per monitorare le richieste e le istanze della tua API. --- ## Guarda anche: - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - Una collezione di risorse utili per la creazione di API RESTful HTTP+JSON. - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # Contribuire Siate liberi di contribuire a questo progetto facendo un fork, modificandolo e inviando una pull request. Per qualsiasi dubbio inviare un'email all'indirizzo: `team@shieldfy.io`. ================================================ FILE: README-ja.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български](./README-bg.md) | [বাংলা](./README-bn.md) | [Català](./README-ca.md) | [Čeština](./README-cs.md) | [Deutsch](./README-de.md) | [Ελληνικά](./README-el.md) | [Español](./README-es.md) | [فارسی](./README-fa.md) | [Français](./README-fr.md) | [हिंदी](./README-hi.md) | [Indonesia](./README-id.md) | [Italiano](./README-it.md) | [한국어](./README-ko.md) | [ພາສາລາວ](./README-lo.md) | [Македонски](./README-mk.md) | [മലയാളം](./README-ml.md) | [Монгол](./README-mn.md) | [Nederlands](./README-nl.md) | [Polski](./README-pl.md) | [Português (Brasil)](./README-pt_BR.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) # APIセキュリティチェックリスト APIを設計、テスト、リリースするときの最も重要なセキュリティ対策のチェックリスト --- ## 認証 - [ ] `Basic認証`を利用せず、標準的な認証を利用する。 - [ ] `認証`、`トークンの生成`、`パスワードの保管`において「車輪の再発明」をしないこと。すでに標準化されているものを利用する。 - [ ] ログインにおいては`最大リトライ回数(Max Retry)`とjail機能を利用する。 - [ ] 全ての機微情報において暗号化を活用する。 ## アクセス - [ ] DDoSやブルートフォース攻撃を回避するため、リクエストを制限(スロットリング)する。 - [ ] MITM(Man in the Middle Attack)を防ぐため、サーバサイドではHTTPSを使用する。 - [ ] SSL Strip attackを防ぐため、SSL化とともに`HSTS`ヘッダを設定する。 - [ ] ディレクトリ・リストをオフにする。 - [ ] プライベートAPIの場合、ホワイト・リストに登録されたIP/ホストからのアクセスのみを許可する。 ## 認可 ### OAuth - [ ] サーバサイドで常に`redirect_uri`を検証し、ホワイトリストに含まれるURLのみを許可する。 - [ ] 常にtokenではなくcodeを交換するようにする(`response_type=token`を許可しない)。 - [ ] `state`パラメータをランダムなハッシュと共に利用し、OAuth認証プロセスでのCSRFを防ぐ。 - [ ] デフォルトのscopeを定義し、アプリケーション毎にscopeパラメータを検証する。 ## 入力 - [ ] 操作に応じて適切なHTTPメソッドを利用する。`GET(読み込み)`, `POST(作成)`, `PUT/PATCH(置き換え/更新)`, `DELETE(単一レコードの削除)`。リクエストメソッドがリソースに対して適切ではない場合、`405 Method Not Allowed`を返す。 - [ ] リクエストのAcceptヘッダ(コンテンツネゴシエーション)の`content-type`を検証する。サポートしているフォーマット(例: `application/xml`, `application/json`等)は許可し、そうでない場合は`406 Not Acceptable`を返す。 - [ ] POSTされたデータの`content-type`が受け入れ可能(例: `application/x-www-form-urlencoded`, `multipart/form-data`, `application/json`等)かどうかを検証する。 - [ ] ユーザーの入力に一般的な脆弱性が含まれていないことを検証する(例: `XSS`, `SQLインジェクション`, `リモートコード実行`等)。 - [ ] URLの中に機密情報(`認証情報`, `パスワード`, `セキュリティトークン`)を利用せず、標準的な認証ヘッダを使用する。 - [ ] サーバー側の暗号化のみを使用する。 - [ ] キャッシュ、Rate Limit policies(例: `Quota`, `Spike Arrest`, `Concurrent Rate Limit`)を有効化し、APIリソースのデプロイを動的に行うため、APIゲートウェイサービスを利用する。 ## 処理 - [ ] 壊れた認証プロセスを回避するため、全てのエンドポイントが認証により守られていることを確かめる。 - [ ] ユーザーに紐付いたリソースIDを使用してはならない。`/user/654321/orders`の代わりに`/me/orders`を利用する。 - [ ] オートインクリメントなIDを利用せず、代わりに`UUID`を利用する。 - [ ] XMLファイルをパースする場合、`XXE`(XML external entity attack)を回避するため、entity parsingが有効でないことを確認する。 - [ ] XMLファイルをパースする場合、exponential entity expansion attackによる`Billion Laughs/XML bomb`攻撃を回避するためentity expansion が有効でないことを確認する。 - [ ] ファイルアップロードにはCDNを利用する。 - [ ] 大量のデータを扱う場合、バックグラウンドでWorkerプロセスやキューを出来る限り使用し、レスポンスを速く返すことでHTTPブロッキングを避ける。 - [ ] デバッグ・モードを無効にすることを忘れない。 - [ ] 可能な場合は、実行不可能なスタックを使用する。 ## 出力 - [ ] `X-Content-Type-Options: nosniff`をヘッダに付与する。 - [ ] `X-Frame-Options: deny`をヘッダに付与する。 - [ ] `Content-Security-Policy: default-src 'none'`をヘッダに付与する。 - [ ] フィンガープリントヘッダを削除する - `X-Powered-By`, `Server`, `X-AspNet-Version`等。 - [ ] `content-type`を必ず付与する。もし`application/json`を返す場合、`content-type`は`application/json`にする。 - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] `認証情報`, `パスワード`, `セキュリティトークン`といった機密情報を返さない。 - [ ] 処理の終了時に適切なステータスコードを返す(例: `200 OK`, `400 Bad Request`, `401 Unauthorized`, `405 Method Not Allowed`等)。 ## CI & CD (継続的インテグレーションと継続的デリバリー) - [ ] ユニットテスト/結合テストのカバレッジで、設計と実装を継続的に検査する。 - [ ] コードレビューのプロセスを採用し、自身による承認を無視する。 - [ ] プロダクションへプッシュする前に、ベンダのライブラリ、その他の依存関係を含め、サービスの全ての要素をアンチウイルスソフトで静的スキャンする。 - [ ] コードに対してセキュリティ・テスト(静的/動的分析)を継続的に実行する。 - [ ] 既知の脆弱性について、依存関係(ソフトウェアとOSの両方)を確認する。 - [ ] デプロイのロールバックを用意する。 ## モニタリング - [ ] すべてのサービスとコンポーネントに集中ログインを使用する。 - [ ] すべてのトラフィック、エラー、リクエスト、およびレスポンスを監視ために、エージェントを使用する。 - [ ] SMS、Slack、Email、Telegram、Kibana、Cloudwatch、などのアラートを使用する。 - [ ] クレジット・カード、パスワード、PIN、などの機密データをログに記録していないことを確認する。 - [ ] APIリクエストとインスタンスを監視ためにIDSやIPSシステムを使用する。 --- ## 参照: - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - RESTful HTTP+JSON APIを構築するための有用なリソースの集まり。 - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # コントリビューション このリポジトリをforkして、変更し、プルリクエストを送信し、自由にコントリビューションしてください。何か質問があれば `team@shieldfy.io` まで電子メールを送ってください。 ================================================ FILE: README-ko.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български](./README-bg.md) | [বাংলা](./README-bn.md) | [Català](./README-ca.md) | [Čeština](./README-cs.md) | [Deutsch](./README-de.md) | [Ελληνικά](./README-el.md) | [Español](./README-es.md) | [فارسی](./README-fa.md) | [Français](./README-fr.md) | [हिंदी](./README-hi.md) | [Indonesia](./README-id.md) | [Italiano](./README-it.md) | [日本語](./README-ja.md) | [ພາສາລາວ](./README-lo.md) | [Македонски](./README-mk.md) | [മലയാളം](./README-ml.md) | [Монгол](./README-mn.md) | [Nederlands](./README-nl.md) | [Polski](./README-pl.md) | [Português (Brasil)](./README-pt_BR.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) # API 보안 점검표 API를 설계하고, 테스트하고, 배포할 때 고려해야 할 중요한 보안 대책에 대한 점검 목록입니다. --- ## 인증 (Authentication) - [ ] `Basic Auth`를 사용하지 말고 표준 인증방식을 사용하세요. - [ ] `인증`, `토큰 생성`, `패스워드 저장`은 직접 개발하지 말고 표준을 사용하세요. - [ ] 로그인에서 `Max Retry`와 격리 기능을 사용하세요. - [ ] 민감한 데이터는 모두 암호화하세요. ## 접근 (Access) - [ ] DDoS나 무작위 대입 공격을 피하려면 요청 수를 제한하세요. (Throttling) - [ ] MITM (중간자 공격)을 피하려면 서버 단에서 HTTPS를 사용하세요. - [ ] SSL Strip 공격을 피하려면 `HSTS` 헤더를 SSL과 함께 사용하세요. - [ ] 디렉토리 목록을 끕니다. - [ ] 프라이빗 API의 경우, 화이트리스트에 있는 IP/호스트에서만 액세스를 허용합니다. ## 권한 부여 (Authorization) ### OAuth - [ ] 허용된 URL만 받기 위해서는 서버 단에서 `redirect_uri`의 유효성을 항상 검증하세요. - [ ] 항상 토큰 대신 코드를 주고받으세요. (`response_type=token`을 허용하지 마세요) - [ ] OAuth 인증 프로세스에서 CSRF를 방지하기 위해 랜덤 해쉬값을 가진 `state` 파라미터를 사용하세요. - [ ] 디폴트 스코프를 정의하고 각 애플리케이션마다 스코프 파라미터의 유효성을 검증하세요. ## 입력 및 요청 (Input) - [ ] 각 요청의 연산에 맞는 적절한 HTTP 메서드를 사용하세요. `GET (읽기)`, `POST (생성)`, `PUT (대체/갱신)`, `DELETE (삭제)`. 그리고 요청 메소드가 리소스에 적합하지 않은 경우 `405 Method Not Allowed`로 응답하세요. - [ ] 여러분이 지원하는 포맷 (예를 들어 `application/xml`이나 `application/json` 등)만을 허용하려면 요청의 Accept 헤더에서 `content-type`의 유효성을 검사하고 일치하지 않으면 `406 Not Acceptable`로 응답하세요. - [ ] 요청받은 POST 데이터의 `content-type`을 검증하세요. (예를 들어 `application/x-www-form-urlencoded`나 `multipart/form-data` 또는 `application/json` 등) - [ ] 일반적인 취약점들을 피하기 위해선 사용자 입력의 유효성을 검증하세요. (예를 들어 `XSS`, `SQL-Injection` 또는 `Remote Code Execution` 등) - [ ] URL에는 그 어떤 민감한 데이터 (`자격 인증 (credentials)`, `패스워드`, `보안 토큰` 또는 `API 키`)도 포함하고 있어서는 안 되며 이러한 것들은 표준 인증 방식의 헤더를 사용하세요. - [ ] 서버 측 암호화만 사용하십시오. - [ ] 캐싱과 속도 제한 정책을 제공하는 API 게이트웨이 서비스 (예를 들어 `Quota`, `Spike Arrest`, `Concurrent Rate Limit`)를 사용하고, API 리소스를 동적으로 배포하세요. ## 서버 처리 - [ ] 인증 프로세스가 손상되는 것을 피하기 위해 모든 엔드포인트가 인증 프로세스 뒤에서 보호되고 있는지 확인하세요. - [ ] 사용자 소유의 리소스 식별자는 피해야 합니다. `/user/654321/orders` 대신 `/me/orders`를 사용하세요. - [ ] 자동 증가 (auto-increment) 식별자 대신 `UUID`를 사용하세요. - [ ] XML 파일을 파싱하고 있다면, `XXE` (XML 외부 엔티티 공격, XML external entity attack)를 피하기 위해 엔티티 파싱을 비활성화하세요. - [ ] XML 파일을 파싱하고 있다면, 지수적 엔티티 확장 공격을 통한 빌리언 러프/XML 폭탄을 피하기 위해 엔티티 확장을 비활성화하세요. - [ ] 파일 업로드에는 CDN을 사용하세요. - [ ] 거대한 양의 데이터를 다루고 있다면, 워커나 큐를 사용하여 가능한 한 백그라운드에서 처리하고, HTTP 블로킹을 피하기 위해 응답을 빠르게 반환하세요. - [ ] 디버그 모드를 꺼놓는 일을 절대 잊지 마세요. - [ ] 가능한 경우 실행 불가능한 스택을 사용하십시오. ## 반환 및 응답 (Output) - [ ] `X-Content-Type-Options: nosniff` 헤더를 반환하세요. - [ ] `X-Frame-Options: deny` 헤더를 반환하세요. - [ ] `Content-Security-Policy: default-src 'none'` 헤더를 반환하세요. - [ ] `X-Powered-By`, `Server`, `X-AspNet-Version` 등의 디지털 지문 (fingerprinting) 성격의 헤더는 제거하세요. - [ ] 응답에 `content-type`을 강제하세요. 만약 `application/json` 데이터를 반환하고 있다면 응답의 `content-type`은 `application/json`입니다. - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] `자격 인증 (credentials)`, `패스워드`, `보안 토큰`과 같은 민감한 데이터는 반환하지 마세요. - [ ] 각 작업에 맞는 적절한 상태 코드를 반환하세요. (예를 들어 `200 OK`, `400 Bad Request`, `401 Unauthorized`, `405 Method Not Allowed` 등) ## CI & CD - [ ] 단위/통합 테스트 범위로 설계 및 구현을 검토하세요. - [ ] 코드 리뷰 절차를 사용하고 자체 승인을 무시하세요. - [ ] 제품 출시전에 백신 소프트웨어로 공급 업체의 라이브러리 및 기타 종속적인 것을 포함한 서비스의 모든 구성 요소들을 정적으로 검사했는지 확인하세요. - [ ] 코드에 대한 보안 테스트(정적/동적 분석)를 지속해서 실행합니다. - [ ] 알려진 취약점이 있는지 종속성(소프트웨어 및 OS 모두)을 확인하십시오. - [ ] 배포에 대한 롤백 솔루션을 설계하세요. ## 모니터링 (Monitoring) - [ ] 모든 서비스 및 구성 요소에 대해 중앙 집중식 로그인을 사용합니다. - [ ] 에이전트를 사용하여 모든 트래픽, 오류, 요청 및 응답을 모니터링합니다. - [ ] SMS, Slack, 이메일, Telegram, Kibana, Cloudwatch, 등에 대한 알림을 사용합니다. - [ ] 신용 카드, 비밀번호, PIN, 등과 같은 민감한 데이터를 기록하고 있지 않은지 확인하십시오. - [ ] IDS 및/또는 IPS 시스템을 사용하여 API 요청 및 인스턴스를 모니터링합니다. --- ## 참조 : - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - RESTful HTTP+JSON API를 만드는 데 유용한 자원의 콜렉션. - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # 기여하기 포크, 변경, pull request를 보내 자유롭게 기여하세요. 질문은 `team@shieldfy.io`로 이메일을 보내주세요. ================================================ FILE: README-lo.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български](./README-bg.md) | [বাংলা](./README-bn.md) | [Català](./README-ca.md) | [Čeština](./README-cs.md) | [Deutsch](./README-de.md) | [Ελληνικά](./README-el.md) | [Español](./README-es.md) | [فارسی](./README-fa.md) | [Français](./README-fr.md) | [हिंदी](./README-hi.md) | [Indonesia](./README-id.md) | [Italiano](./README-it.md) | [日本語](./README-ja.md) | [한국어](./README-ko.md) | [Македонски](./README-mk.md) | [മലയാളം](./README-ml.md) | [Монгол](./README-mn.md) | [Nederlands](./README-nl.md) | [Polski](./README-pl.md) | [Português (Brasil)](./README-pt_BR.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) # API Security Checklist Checklist ທີ່ຕ້ອງໃຫ້ຄວາມສຳຄັນເມື່ອມີການສ້າງ API ໃນຊ່ວງການອອກແບບ ທົດສອບລະບົບ ແລະ ການປ່ອຍໃຫ້ຄົນນອກໃຊ້ --- ## Authentication (ການພິສູດຕົວຕົນ) - [ ] ບໍ່ຄວນໃຊ້ `Basic Auth` (ການ authen ປົກກະຕິດ້ວຍ username password) ສຳລັບການພິສູດຕົວຕົນ ແຕ່ໃຫ້ໃຊ້ຮູບແບບມາດຕະຖານສາກົນແທນ. - [ ] ບໍ່ຕ້ອງເສຍເວລາສ້າງວິທີ Authentication ໃໝ່ຂຶ້ນມາ ໃຫ້ໃຊ້ທີ່ມີຢູ່ໃນມາດຕະຖານໄປເລີຍ. - [ ] ໃຫ້ມີການຈຳກັດຈຳນວນຄັ້ງໃນການພະຍາຍາມ authen ແລະ ສ້າງລະບົບລ໋ອກກໍລະນີພະຍາຍາມເກີນກຳນົດ. - [ ] ຂໍ້ມູນທີ່ສຳຄັນຄວນມີການເຂົ້າລະຫັດສະເໝີ. ## ການເຂົ້າເຖິງ - [ ] ຈຳກັດຈຳນວນສູງສຸດຂອງ request ເພື່ອປ້ອງກັນ DDoS / Bruteforce. - [ ] ໃຊ້ https ເພື່ອປ້ອງກັນ MITM (Man In The Middle Attack). - [ ] ໃຊ້ `HSTS` header ກັບ SSL ເພື່ອປ້ອງກັນ SSL Strip attack. - [ ] ປິດລາຍຊື່ໄດເລກະທໍລີ. - [ ] ສໍາລັບ APIs ສ່ວນຕົວ, ອະນຸຍາດໃຫ້ເຂົ້າເຖິງພຽງແຕ່ຈາກ IPs/hosts ບັນຊີຂາວເທົ່ານັ້ນ. ## Authorization ### OAuth - [ ] ມີການ validate `redirect_uri` ໃນຝັ່ງ server ໂດຍຍອມຮັບ uri ສະເພາະທີ່ມີຢູ່ໃນລີສທີ່ເຮົາເຊື່ອຖືເທົ່ານັ້ນ (whitelist). - [ ] ບັງຄັບໃຫ້ມີການໃຊ້ response_type ເປັນ code ສະເໝີ (ພະຍາຍາມລ່ຽງບໍ່ໃຊ້ `response_type=token`). - [ ] ໂຕແປ `state` ໃຫ້ໃຊ້ random hash ເພື່ອປ້ອງກັນ CSRF (Cross Site Request Forgery) ໃນຕອນ OAuth authentication. - [ ] ກຳນົດ scope ແລະ ມີການ validate scope ໂຕແປສຳລັບແຕ່ລະແອັບ. ## Input - [ ] ໃຊ້ຄຳສັ່ງ HTTP ຕາມ operation ທີ່ເຮັດ ເຊັ່ນ `GET (read)`, `POST (create)`, `PUT/PATCH (replace/update)` and `DELETE (to delete a record)` ແລະ ສົ່ງກັບດ້ວຍ `405 Method Not Allowed` ຖ້າບໍ່ມີການຮອງຮັບ request ດ້ວຍ method ນັ້ນໃນລະບົບ. - [ ] Validate `content-type` ໃນ header ຂາ request (Content Negotiation) ໂດຍຍອມໃຫ້ສົ່ງມາສະເພາະ format ທີ່ກຳນົດ (ຕົວຢ່າງ, `application/xml`, `application/json` ... ໆລໆ) ແລະ ຕອບກັບດ້ວຍ `406 Not Acceptable` ຖ້າ format ທີ່ສົ່ງມາບໍ່ຖືກ. - [ ] Validate `content-type` ຂອງ data ທີ່ຮັບມາທຸກຄັ້ງ(ຕົວຢ່າງ, `application/x-www-form-urlencoded`, `multipart/form-data`, `application/json` ... ໆລໆ). - [ ] Validate ຂໍ້ມູນ user ໃສ່ເຂົ້າມາທຸກຄັ້ງເພື່ອປ້ອງກັນຊ່ອງໂຫວ່ທີ່ຖືກກັນຫຼາຍໆ (ຕົວຢ່າງ, `XSS`, `SQL-Injection`, `Remote Code Execution` ... ໆລໆ). - [ ] ຫ້າມເອົາຂໍ້ມູນທີ່ສຳຄັນໄປໄວ້ໃນ URL (ເຊັ່ນ /servicexxx?creditcardnum=1234) ແຕ່ໃຫ້ໄປໃສ່ໄວ້ໃນ authorization header ແທນ (`credentials`, `Passwords`, `security tokens`, ຫຼື `API keys`). - [ ] ໃຊ້ພຽງແຕ່ການເຂົ້າລະຫັດຂ້າງເຊີບເວີ. - [ ] ເຮັດ API Gateway ເພື່ອໃຫ້ສາມາດເຮັດ caching, Rate Limit, Spike Arrest, ແລະ ຈັດການຊັບພະຍາກອນສຳລັບ API ໄດ້ຢ່າງຍືດຍຸ່ນ. ## Processing - [ ] ກວດເບິ່ງວ່າ endpoints ທຸກຈຸດຢູ່ພາຍໃຕ້ authentication ເພື່ອປ້ອງກັນຊ່ອງໂຫວ່ທີ່ເຮັດໃຫ້ຄົນອື່ນມາເອີ້ນໃຊ້ໂດຍບໍ່ຈຳເປັນຕ້ອງພິສູດຕົວຕົນ. - [ ] ບໍ່ຄວນນຳ resource ID ຂອງ user ໄປໃຊ້ (`/user/654321/orders`) ແຕ່ໃຫ້ໄປໃຊ້ແບບ `/me/orders` ແທນ ເພື່ອປ້ອງກັນ user ປ່ຽນໄປໃຊ້ຂອງຄົນອື່ນ. - [ ] ເລກ ID ຂອງ user ບໍ່ຄວນມີການສ້າງແບບໄລ່ລຳດັບໄປເລື້ອຍໆ ແຕ່ໃຫ້ສ້າງ UUID ແທນ. - [ ] ຖ້າມີການ parsing ຟາຍ XML, ໃຫ້ປິດສ່ວນຂອງ Entity parsing ໄວ້ເພື່ອຫຼີກລ່ຽງທີ່ຈະຖືກຊ່ອງໂຫວ່ຕ່າງໆເຊັ່ນ (XML external entity attack, Billion Laughs/XML bomb). - [ ] If you are parsing XML files, make sure entity expansion is not enabled to avoid `Billion Laughs/XML bomb` via exponential entity expansion attack. - [ ] ໃຊ້ CDN ເມື່ອຈຳເປັນຕ້ອງມີການ upload ຟາຍຈາກ client. - [ ] ຫາກຕ້ອງເຈິກັບຂໍ້ມູນຂະໜາດໃຫຍ່ ໃຫ້ໃຊ້ Workers ກັບ ຄິວໃນການຈັດການເພື່ອໃຫ້ມີການຕອບຂໍ້ມູນກັບໄດ້ຢ່າງວ່ອງໄວຈະໄດ້ບໍ່ເກີດຄວາມສ່ຽງຂຶ້ນ. - [ ] ຢ່າລືມປິດໂໝດ DEBUG ໃນ code ຫາກເຮັດໄວ້. - [ ] ໃຊ້ stacks ທີ່ບໍ່ສາມາດປະຕິບັດໄດ້ເມື່ອມີ. ## Output - [ ] ຕັ້ງ `X-Content-Type-Options: nosniff` ໃນ header. - [ ] ຕັ້ງ`X-Frame-Options: deny` ໃນ header. - [ ] ຕັ້ງ `Content-Security-Policy: default-src 'none'` ໃນ header. - [ ] ເອົາ fingerprinting headers ອອກ - `X-Powered-By`, `Server`, `X-AspNet-Version` ໆລໆ. - [ ] ກຳນົດ content-type ໃນ response ເຊັ່ນຖ້າຕ້ອງການຂໍ້ມູນທີ່ເປັນ json ກັບໄປ ກໍເຊັດ `content-type` ເປັນ `application/json` ໄປເລີຍ. - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] ບໍ່ຕ້ອງສົ່ງຂໍ້ມູນສຳຄັນກັບໄປຫາ client (`credentials`, `Passwords`, `security tokens`). - [ ] ຕອບ status code ທີ່ກົງກັບ operation ກັບໄປ (ຕົວຢ່າງ, `200 OK`, `400 Bad Request`, `401 Unauthorized`, `405 Method Not Allowed` ... ໆລໆ). ## CI & CD - [ ] ກວດສອບ design ກັບ implementation ໃນຂັ້ນ unit/integration test ຢ່າງຄອບຄຸມ. - [ ] ໃຫ້ໃຊ້ code review process ບໍ່ແມ່ນວ່າໂຕເອງພໍໃຈກໍໂອເຄແລ້ວ. - [ ] ໝັ້ນໃຈວ່າທຸກຢ່າງ service ປອດໄວລັດແລ້ວກ່ອນຈະນຳຂຶ້ນ production ລວມໄປເຖິງ lib ຂອງພວກ vendor ກັບ dependencies ອື່ນໆ ອີກດ້ວຍ. - [ ] ດໍາເນີນການທົດສອບຄວາມປອດໄພຢ່າງຕໍ່ເນື່ອງ (ການວິເຄາະແບບຄົງທີ່ ແລະແບບເຄື່ອນໄຫວ) ໃນລະຫັດຂອງທ່ານ. - [ ] ກວດເບິ່ງຄວາມເພິ່ງພາອາໄສຂອງທ່ານ (ທັງຊອບແວ ແລະ OS) ສໍາລັບຊ່ອງໂຫວ່ທີ່ຮູ້ຈັກ. - [ ] ອອກແບບວິທີ rollback ໄວ້ກ່ອນຈະນຳຂຶ້ນໄປ ເພາະເວລາເກີດບັນຈະໄດ້ຍ້ອນກັບມາໃຊ້ version ເກົ່າໄປກ່ອນໄດ້ (ອາດເຈິໄດ້ຫຼາຍໃນຕອນພັດທະນາ feature ໃໝ່ໆ). ## ການຕິດຕາມ - [ ] ໃຊ້ການເຂົ້າສູ່ລະບົບແບບສູນກາງສຳລັບທຸກ services ແລະ components. - [ ] ໃຊ້ agents ເພື່ອການຕິດຕາມ traffic ທັງໝົດ, ບັນຫາ, requests ແລະ reponses. - [ ] ໃຊ້ແຈ້ງເຕືອນສຳລັບ SMS, Slack, Email, Telegram, Kibana, Cloudwatch, ແລະ ອື່ນໆ. - [ ] ໝັ້ນໃຈວ່າທ່ານບໍ່ໄດ້ເຂົ້າເຖິງຂໍ້ມູນ sensitive ຕົວຢ່າງ ບັດເຄດິດ, ລະຫັດ, ລະຫັດບັດ ແລະ ອື່ນໆ. - [ ] ນຳໃຊ້ IDS ແລະ/ຫຼື ລະບະບົ IPS ເພື່ອຕິດຕາມ API requests ແລະ intances ຂອງທ່ານ. --- ## ເບິ່ງສິ່ງນີ້ດ້ວຍ: - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - ຊຸດແຫຼ່ງຂໍ້ມູນທີ່ເປັນປະໂຫຍດໃນການສ້າງ API RESTful HTTP+JSON. - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # ມີສ່ວນຮ່ວມ ບໍ່ຕ້ອງລັງເລທີຈະມີສ່ວນຮ່ວມໂດຍການ fork repository ນີ້, ປ່ຽນແປງບາງຢ່າງ ແລະ submit pull request. ສຳລັບຄຳຖາມເພີ່ມເຕີມແມ່ນສົ່ງມາທີອີເມວນີ້ `team@shieldfy.io`. ================================================ FILE: README-mk.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български](./README-bg.md) | [বাংলা](./README-bn.md) | [Català](./README-ca.md) | [Čeština](./README-cs.md) | [Deutsch](./README-de.md) | [Ελληνικά](./README-el.md) | [Español](./README-es.md) | [فارسی](./README-fa.md) | [Français](./README-fr.md) | [हिंदी](./README-hi.md) | [Indonesia](./README-id.md) | [Italiano](./README-it.md) | [日本語](./README-ja.md) | [한국어](./README-ko.md) | [ພາສາລາວ](./README-lo.md) | [മലയാളം](./README-ml.md) | [Монгол](./README-mn.md) | [Nederlands](./README-nl.md) | [Polski](./README-pl.md) | [Português (Brasil)](./README-pt_BR.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) # API Безбедносна контролна листа Безбедносна контролна листа од најважните безбедносни контрамерки при дизајнирање, тестирање и пуштање во употреба на вашето API. --- ## Автентикација - [ ] Не користете `Basic Auth` Користете стандардна автентикација. - [ ] Не измислувајте топла вода за `Authentication`, `generation token`, `password storage`. Користете ги стандардите. - [ ] Користете `Max Retry` и затворските функции во Login. - [ ] Користете енкрипција на сите чувствителни податоци. ## Пристап - [ ] Ограничете ги барањата (забавување) за да избегнете напади DDoS / brute-force. - [ ] Користете HTTPS на страната на серверот за да избегнете MITM (Man In The Middle Attack). - [ ] Користете `HSTS` насловот со SSL за да избегнете SSL Strip напад. - [ ] Исклучете ги списоците на директориуми. - [ ] За приватни API, дозволете пристап само од IP-а/домаќини на белата листа. ## Овластување ### OAuth - [ ] Секогаш проверувајте ја `redirect_uri` од страна на серверот за да дозволите само бела листа на адреси. - [ ] Секогаш обидувајте се да разменувате за код, а не токени (не дозволувајте `response_type = token`). - [ ] Користете `state` параметар со случаен хаш за да се спречи CSRF на процесот на автентикација на OAuth. - [ ] Дефинирајте го основниот опсег и проверете ги параметрите на опсегот за секоја апликација. ## Влез - [ ] Користете ја соодветната HTTP-метод според операцијата: "GET (read)", "POST (создади)", "PUT / PATCH (замени / ажурирај)" и "DELETE (за бришење на запис) 405 Метод не е дозволено` ако бараниот метод не е соодветен за бараниот ресурс. - [ ] Потврдете `content-type` на барање Accept header (Content Negotiation) за да го дозволите само вашиот поддржан формат (на пр.`application/xml`, `application/json`, итн) И да одговори со 406 Not Acceptable` одговор ако не се совпаѓа. - [ ] Потврдете ги `content-type` на објавените податоци што ги прифаќате (на пр., `application/x-www-form-urlencoded`, `multipart/form-data`, `application/json`, итн.). - [ ] Потврдете го корисничкиот влез за да избегнете вообичаени слабости (п.р. `XSS`, `SQL-Injection`, `Remote Code Execution`, итн). - [ ] Не користете чувствителни податоци(`credentials`, `Passwords`, `security tokens`, или `API keys`) во URL-то, но користете стандарден заглавие за авторизација. - [ ] Користете само шифрирање од страна на серверот. - [ ] Користете API Gateway-услуга за да овозможите кеширање, политики за ограничување на тарифите (пр. `Quota`, `Spike Arrest`, `Concurrent Rate Limit`) и динамички да ги распоредите ресурсите за API-то. ## Обработка - [ ] Проверете дали сите крајните точки се заштитени зад автентичност за да се избегне скршен процес на автентикација. - [ ] Треба да се избегнува идентификација на сопствени ресурси на сопственикот. Користете `/ me / orders` наместо` / user / 654321 / orders`. - [ ] Не автоматско зголемување на ID-ите. Наместо тоа, употребете `UUID`. - [ ] Ако ги анализирате XML-датотеките, проверете дали парсирањето на ентитетот не е овозможено за да се избегне `XXE` (напад на надворешен ентитет на XML). - [ ] Ако анализирате XML-датотеки, проверете дали проширувањето на ентитетот не е овозможено за да се избегне `Billion Laughs / XML бомба` преку експоненцијален напад на експанзија на ентитетот. - [ ] Користете CDN за закачување на фајлови. - [ ] Ако се занимавате со огромни количини на податоци, користете Workers and Queues за да процесирате што е можно повеќе во позадина и да го вратите одговорот брзо за да избегнете блокирање на HTTP. - [ ] Не заборавајте да го исклучите режимот DEBUG. - [ ] Користете неизвршни stack кога е достапно. ## Излез - [ ] Праќај `X-Content-Type-Options: nosniff` хедер. - [ ] Праќај `X-Frame-Options: deny` хедер. - [ ] Праќај `Content-Security-Policy: default-src 'none'` хедер. - [ ] Отстранете ги хедерите кој издаваат отповеќе податоци - `X-Powered-By`, `Server`, `X-AspNet-Version` итн. - [ ] Присилувај `content-type` " за твојот одговор, ако се вратиш `application/json` тогаш твојот одговор `content-type` е `application/json`. - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] Не враќајте чувствителни податоци како `credentials`, `Passwords`, `security tokens`. - [ ] Врати го соодветниот код за статусот според завршената операција. (п.р. `200 OK`, `400 Bad Request`, `401 Unauthorized`, `405 Method Not Allowed`, итн). ## CI & CD - [ ] Ревизија на вашиот дизајн и имплементација со покриеност тестови за единица / интеграција. - [ ] Користете процес на прегледување на кодот и не дозволувајте самоодобрување. - [ ] Осигурајте се дека сите компоненти на вашите услуги се статички скенирани од AV-софтверот пред да се изврши притисок за производство, вклучувајќи библиотеки на продавачи и други зависности. - [ ] Континуирано извршувајте безбедносни тестови (статичка/динамичка анализа) на вашиот код. - [ ] Проверете ги вашите зависности (и софтвер и ОС) за познати пропусти. - [ ] Дизајн на rollback за во продукција. ## Мониторинг - [ ] Користете централизирани логин за сите услуги и компоненти. - [ ] Користете агенти за следење на целиот сообраќај, грешки, барања и одговори. - [ ] Користете предупредувања за SMS, Slack, Е-пошта, Telegram, Kibana, Cloudwatch, итн. - [ ] Осигурете се дека не внесувате чувствителни податоци како кредитни картички, лозинки, PIN-кодови, итн. - [ ] Користете IDS и/или IPS систем за следење на вашите барања и примери на API. --- ## Исто така види: - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - A collection of useful resources for building RESTful HTTP+JSON APIs. - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # Придонес Слободно можете да придонесете со forking на ова repository, правење некои промени и поднесување pull request. За какви било прашања испратете ни е-пошта на `team@shieldfy.io`. ================================================ FILE: README-ml.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български](./README-bg.md) | [বাংলা](./README-bn.md) | [Català](./README-ca.md) | [Čeština](./README-cs.md) | [Deutsch](./README-de.md) | [Ελληνικά](./README-el.md) | [Español](./README-es.md) | [فارسی](./README-fa.md) | [Français](./README-fr.md) | [हिंदी](./README-hi.md) | [Indonesia](./README-id.md) | [Italiano](./README-it.md) | [日本語](./README-ja.md) | [한국어](./README-ko.md) | [ພາສາລາວ](./README-lo.md) | [Македонски](./README-mk.md) | [Монгол](./README-mn.md) | [Nederlands](./README-nl.md) | [Polski](./README-pl.md) | [Português (Brasil)](./README-pt_BR.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) # API സുരക്ഷാ ചെക്ക്ലിസ്റ്റ് നിങ്ങളുടെ API ഡിസൈൻ ചെയ്യുമ്പോഴും ടെസ്റ്റ് ചെയ്യുമ്പോഴും റിലീസ് ചെയ്യുമ്പോഴും പാലിക്കേണ്ട ഏറ്റവും പ്രധാനപ്പെട്ട സുരക്ഷാ പ്രതിരോധ നടപടികളുടെ ചെക്ക്ലിസ്റ്റ്. --- ## ഒതെന്റിക്കേഷൻ - [ ] `Basic Auth` ഉപയോഗിക്കരുത്. പകരം സ്റ്റാൻഡേർഡ് ഓതെന്റിക്കേഷൻ ഉപയോഗിക്കുക. - [ ] `Authentication`, `token generation`, `password storage` എന്നിവയിൽ മുമ്പ് സൃഷ്ടിച്ച അടിസ്ഥാന രീതിയുടെ ആവർത്തനം ഉണ്ടാകരുത്. മാനദണ്ഡങ്ങൾ പാലിക്കുക. - [ ] ലോഗിനിൽ `Max Retry` യും ജയിൽ ഫീച്ചേഴ്സും ഉപയോഗിക്കുക. - [ ] എല്ലാ സെൻസിറ്റീവ് ഡാറ്റയിലും എൻക്രിപ്ഷൻ ഉപയോഗിക്കുക. ## ആക്സസ് - [ ] DDoS / ബ്രൂട്ട്-ഫോഴ്സ് ആക്രമണങ്ങൾ ഒഴിവാക്കാൻ റിക്വറ്റുകൾ (ത്രോട്ടിലിംഗ്) പരിമിതപ്പെടുത്തുക. - [ ] MITM (മാൻ ഇൻ ദ മിഡിൽ അറ്റാക്ക്) ഒഴിവാക്കാൻ സെർവർ സൈഡിൽ HTTPS ഉപയോഗിക്കുക. - [ ] SSL സ്ട്രിപ്പ് ആക്രമണം ഒഴിവാക്കാൻ SSL-നൊപ്പം `HSTS` ഹെഡർ ഉപയോഗിക്കുക. - [ ] ഡയറക്ടറി ലിസ്റ്റിംഗുകൾ ഓഫാക്കുക. - [ ] സ്വകാര്യ API-കൾക്കായി, വൈറ്റ്ലിസ്റ്റ് ചെയ്ത IP-കൾ/ഹോസ്റ്റുകളിൽ നിന്ന് മാത്രം ആക്സസ് അനുവദിക്കുക. ## Authorization ### OAuth - [ ] വൈറ്റ്ലിസ്റ്റ് ചെയ്ത URL-കൾ മാത്രം അനുവദിക്കുന്നതിന് സെർവർ സൈഡിൽ എല്ലായ്പ്പോഴും `redirect_uri` സാധൂകരിക്കുക. - [ ] എപ്പോഴും ടോക്കണുകൾ കൈമാറാതെ പകരം കോഡുകൾ കൈമാറാൻ ശ്രമിക്കുക (`response_type=token` അനുവദിക്കരുത്). - [ ] `state` പരാമീറ്ററിനോടൊപ്പം ഒരു റാൻഡം ഹാഷ് ഉപയോഗിച്ച് OAuth ഓതെന്റിക്കേഷൻ പ്രോസസ്സിലെ `CSRF` തടയാനാവും. - [ ] ഓരോ ആപ്ലിക്കേഷനും ഡിഫോൾട്ട് സ്കോപ്പ് നിർവചിക്കുകയും സ്കോപ്പ് പാരാമീറ്ററുകൾ സാധൂകരിക്കുകയും ചെയ്യുക. ## ഇൻപുട്ട് - [ ] പ്രവർത്തനത്തിനനുസരിച്ച് ശരിയായ HTTP രീതി ഉപയോഗിക്കുക: `GET (read)`, `POST (create)`, `PUT/PATCH (replace/update)`, and `DELETE (to delete a record)`, അഭ്യർത്ഥിച്ച ഉറവിടത്തിന് അഭ്യർത്ഥിച്ച രീതി അനുയോജ്യമല്ലെങ്കിൽ `405 Method Not Allowed` എന്ന് പ്രതികരിക്കുക. - [ ] Accept ഹെഡ്ർ (കണ്ടെന്റ് നെഗോഷിയേഷൻ) അവശ്യപെടുന്നതിനനുസരിച്ചു `content-type` വാലിഡേറ്റ് ചെയ്യുകയും സപ്പോർട്ട് ചെയ്യുന്ന ഫോർമാറ്റുകൾ മാത്രം അനുവദിക്കുകയും (ഉദാ. `application/xml`, `application/json`, മുതലായവ) പൊരുത്തപ്പെടുന്നില്ലെങ്കിൽ `406 Not Acceptable` എന്ന റെസ്പോൻഡ്സ് ഉപയോഗിച്ച് പ്രതികരിക്കുകയും ചെയ്യുക. - [ ] പോസ്റ്റ് ചെയ്ത ടാറ്റായുടെ `content-type` നിങ്ങൾ അനുവദിക്കുന്നതതിനനുസരിച് വാലിഡേറ്റ് ചെയ്യുക. (ഉദാ: `application/x-www-form-urlencoded`, `multipart/form-data`, `application/json`, മുതലായവ). - [ ] പൊതുവായ വൾനറബിലിറ്റികൾ ഒഴിവാക്കാൻ യൂസർ ഇൻപുട്ട് സാധൂകരിക്കുക (ഉദാ: `XSS`, `SQL-ഇൻജെക്ഷൻ`, `റിമോട്ട് കോഡ് എക്സിക്യൂഷൻ`, മുതലായവ). - [ ] സെർവർ സൈഡ് എൻക്രിപ്ഷൻ മാത്രം ഉപയോഗിക്കുക. - [ ] സെർവർ സൈഡ് എൻക്രിപ്ഷൻ മാത്രം ഉപയോഗിക്കുക. - [ ] കാഷിംഗ്, നിരക്ക് പരിധി നയങ്ങൾ (ഉദാ. `Quota`, `Spike Arrest`, `Concurrent Rate Limit`) എന്നിവ പ്രവർത്തനക്ഷമമാക്കുന്നതിനും API-കളുടെ ഉറവിടങ്ങൾ ചലനാത്മകമായി വിന്യസിക്കുന്നതിനും ഒരു API ഗേറ്റ്വേ സേവനം ഉപയോഗിക്കുക. ## പ്രോസസ്സിംഗ് - [ ] തകർന്ന ഓതെന്റിക്കേഷൻ പ്രക്രിയ ഒഴിവാക്കാൻ എല്ലാ എൻഡ് പോയിന്റുകളും ഓതെന്റിക്കേഷൻന് പിന്നിൽ പരിരക്ഷിച്ചിട്ടുണ്ടോയെന്ന് പരിശോധിക്കുക. - [ ] ഉപയോക്താവിന്റെ സ്വന്തം റിസോഴ്സ് ഐഡി ഒഴിവാക്കണം. `/me/orders` പകരം `/user/654321/orders` ഉപയോഗിക്കുക. - [ ] ഐഡികൾ ഓട്ടോ-ഇൻക്രിമെന്റ് ചെയ്യരുത്. പകരം `UUID` ഉപയോഗിക്കുക. - [ ] നിങ്ങൾ XML ഫയലുകൾ പാഴ്സ് ചെയ്യുകയാണെങ്കിൽ, `XXE` (XML ബാഹ്യ എന്റിറ്റി ആക്രമണം) ഒഴിവാക്കുവാൻ എന്റിറ്റി പാഴ്സിംഗ് പ്രവർത്തനക്ഷമമാക്കിയിട്ടില്ലെന്ന് ഉറപ്പാക്കുക. - [ ] നിങ്ങൾ XML ഫയലുകൾ പാഴ്സ് ചെയ്യുകയാണെങ്കിൽ, `Billion Laughs/XML bomb` വഴി എക്സ്പോണൻഷ്യൽ എന്റിറ്റി എക്സ്പാൻഷൻ അറ്റാക്ക് ഒഴിവാക്കാൻ എന്റിറ്റി വിപുലീകരണം പ്രവർത്തനക്ഷമമാക്കിയിട്ടില്ലെന്ന് ഉറപ്പാക്കുക. - [ ] ഫയൽ അപ്ലോഡുകൾക്കായി ഒരു CDN ഉപയോഗിക്കുക. - [ ] നിങ്ങൾ വലിയ അളവിലുള്ള ഡാറ്റയാണ് കൈകാര്യം ചെയ്യുന്നതെങ്കിൽ, HTTP തടയൽ ഒഴിവാക്കുന്നതിന് പശ്ചാത്തലത്തിൽ കഴിയുന്നത്ര പ്രോസസ്സ് ചെയ്യാനും പ്രതികരണം വേഗത്തിൽ തിരികെ നൽകാനും വർക്കേഴ്സും ക്യൂകളും ഉപയോഗിക്കുക. - [ ] ഡീബഗ് മോഡ് ഓഫ് ചെയ്യാൻ മറക്കരുത്. - [ ] ലഭ്യമാകുമ്പോൾ എക്സിക്യൂട്ടബിൾ അല്ലാത്ത stackകൾ ഉപയോഗിക്കുക. ## ഔട്ട്പുട്ട് - [ ] `X-Content-Type-Options: nosniff` ഹെഡ്ർ അയയ്ക്കുക. - [ ] `X-Frame-Options: deny` ഹെഡ്ർ അയയ്ക്കുക. - [ ] `Content-Security-Policy: default-src 'none'` ഹെഡ്ർ അയയ്ക്കുക. - [ ] ഫിംഗർപ്രിന്റിങ് ഹെൽഡറുകൾ നീക്കം ചെയ്യുക - `X-Powered-By`, `Server`, `X-AspNet-Version` മുതലായവ. - [ ] `content-type` നെ നിങ്ങളുടെ പ്രതികരണത്തിനായി നിർബന്ധിക്കുക. നിങ്ങളുടെ പ്രതികരണം `application/json` ആണെങ്കിൽ, നിങ്ങളുടെ `content-type` പ്രതികരണവും `application/json` ആയിരിക്കും. - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] `Credentials`, `passwords` അല്ലെങ്കിൽ `security tokens` പോലുള്ള സെൻസിറ്റീവ് ഡാറ്റ നൽകരുത്. - [ ] പൂർത്തിയാക്കിയ പ്രവർത്തനത്തിനനുസരിച്ച് ശരിയായ സ്റ്റാറ്റസ് കോഡ് തിരികെ നൽകുക. (ഉദാ: `200 OK`, `400 Bad Request`, `401 Unauthorized`, `405 Method Not Allowed`, മുതലായവ). ## CI & CD - [ ] unit/integration tests കോവേജ് ഉപയോഗിച്ച് നിങ്ങളുടെ ഡിസൈനും ഇമ്പലമെന്റാഷനും ഔഡിഡ് ചെയ്യുക. - [ ] ഒരു കോഡ് റിവ്യൂ പ്രക്രിയ ഉപയോഗിക്കുക, സ്വയം അംഗീകാരം അവഗണിക്കുക. - [ ] വെണ്ടർ ലൈബ്രറികളും മറ്റ് ഡിപൻഡൻസികളും ഉൾപ്പെടെ ഉൽപ്പാദനത്തിലേക്ക് നീങ്ങുന്നതിന് മുമ്പ് നിങ്ങളുടെ സേവനങ്ങളുടെ എല്ലാ ഘടകങ്ങളും എവി സോഫ്റ്റ്വെയർ സ്ഥിരമായി സ്കാൻ ചെയ്തിട്ടുണ്ടെന്ന് ഉറപ്പാക്കുക. - [ ] നിങ്ങളുടെ കോഡിൽ സുരക്ഷാ പരിശോധനകൾ (സ്റ്റാറ്റിക്/ഡൈനാമിക് അനാലിസിസ്) തുടർച്ചയായി പ്രവർത്തിപ്പിക്കുക. - [ ] അറിയപ്പെടുന്ന കേടുപാടുകൾക്കായി നിങ്ങളുടെ ഡിപൻഡൻസികൾ (സോഫ്റ്റ്വെയറും ഒഎസും) പരിശോധിക്കുക. - [ ] ഡിപ്ലോയ്മെന്റിനായി ഒരു റോൾബാക്ക് പരിഹാരം രൂപകൽപ്പന ചെയ്യുക. ## Monitoring - [ ] എല്ലാ സേവനങ്ങൾക്കും ഘടകങ്ങൾക്കുമായി കേന്ദ്രീകൃത ലോഗിനുകൾ ഉപയോഗിക്കുക. - [ ] എല്ലാ ട്രാഫിക്കും എററുകളും റിക്യുസ്റ്റുകളും റെസ്പോണ്ട്സുകളും നിരീക്ഷിക്കാൻ ഏജന്റ്സ് ഉപയോഗിക്കുക. - [ ] SMS, Slack, Email, Telegram, Kibana, Cloudwatch മുതലായവയ്ക്കായി അലേർട്ടുകൾ ഉപയോഗിക്കുക. - [ ] ക്രെഡിറ്റ് കാർഡുകൾ, പാസ്വേഡുകൾ, പിന്നുകൾ മുതലായവ പോലുള്ള സെൻസിറ്റീവ് ഡാറ്റയൊന്നും നിങ്ങൾ ലോഗ് ചെയ്യുന്നില്ലെന്ന് ഉറപ്പാക്കുക. - [ ] നിങ്ങളുടെ API റിക്യുസ്റ്റുകളും ഇൻസ്റ്റൻസുകളും നിരീക്ഷിക്കാൻ ഒരു IDS കൂടാതെ/അല്ലെങ്കിൽ IPS സിസ്റ്റം ഉപയോഗിക്കുക. --- ## ഇതും കാണുക: - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - RESTful HTTP+JSON API-കൾ നിർമ്മിക്കുന്നതിനുള്ള ഉപയോഗപ്രദമായ വിഭവങ്ങളുടെ ഒരു ശേഖരം. - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # സംഭാവന ഈ ശേഖരം ഫോർക്ക് ചെയ്തും ചില മാറ്റങ്ങൾ വരുത്തിയും പുൾ അഭ്യർത്ഥനകൾ സമർപ്പിച്ചും സംഭാവന ചെയ്യാൻ മടിക്കേണ്ടതില്ല. എന്തെങ്കിലും ചോദ്യങ്ങൾക്ക് ഞങ്ങൾക്ക് ഒരു ഇമെയിൽ അയയ്ക്കുക `team@shieldfy.io`. ================================================ FILE: README-mn.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български](./README-bg.md) | [বাংলা](./README-bn.md) | [Català](./README-ca.md) | [Čeština](./README-cs.md) | [Deutsch](./README-de.md) | [Ελληνικά](./README-el.md) | [Español](./README-es.md) | [فارسی](./README-fa.md) | [Français](./README-fr.md) | [हिंदी](./README-hi.md) | [Indonesia](./README-id.md) | [Italiano](./README-it.md) | [日本語](./README-ja.md) | [한국어](./README-ko.md) | [ພາສາລາວ](./README-lo.md) | [Македонски](./README-mk.md) | [മലയാളം](./README-ml.md) | [Nederlands](./README-nl.md) | [Polski](./README-pl.md) | [Português (Brasil)](./README-pt_BR.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) # API Аюулгүйн жагсаалт API гаргах, загварчлах, тестлэхэд аюулгүйн талаас авах сөрөг арга хэмжээний жагсаалт. --- ## Authentication - [ ] `Basic Auth` бүү ашигла, Стандарт authentication ашигла. - [ ] `Authentication` -ын `token generation`, `password storage` зэргийг бүү дахин шинээр хий, стандарт ашигла. - [ ] Нэвтрэх(Login) үед `Max Retry` ашиглан хорилт хий. - [ ] Чухал өгөгдлүүдийг encrupt хий. ## Access - [ ] Хүсэлтийн тоог хязгаарлаж (Throttling) DDoS / brute-force дайралтаас хамгаална. - [ ] HTTPS ашиглаж сервер талдаа MITM (Man In The Middle Attack) дайралтаас хамгаална. - [ ] `HSTS` header -ыг SSL дээр ашиглаж SSL Strip дайралтаас хамгаална. - [ ] Лавлах жагсаалтыг унтраа. - [ ] Хувийн API-уудын хувьд зөвхөн зөвшөөрөгдсөн жагсаалтад орсон IP/хостоос хандахыг зөвшөөрнө үү. ## Authorization ### OAuth - [ ] `redirect_uri` -ыг үргэлж сервер талд шалган зөвшөөрөгдсөн URL эсэхийг шалга. - [ ] Аль болох токен биш код солилц (`response_type=token` -ыг зөвшөөрч болохгүй). - [ ] OAuth authentication -ын үед `state` параметрийг санамсаргүй үүссэн hash ашиглан CSRF ээс сэргийлнэ. - [ ] Хувьсагчид анхны утга заавал оноож өг, утгыг байнга шалга. ## Input - [ ] Яг зөв HTTP хүсэлтийг ашигла: `GET (унших)`, `POST (үүсгэх)`, `PUT/PATCH (орлуулах/солих)`, мөн `DELETE (устгах)`, бас `405 Method Not Allowed` -ыг хүсэлтийн төрөл тодорхойгүй үед ашигла. - [ ] `content-type` -ыг хүсэлтийн header (Content Negotiation) дээр шалгаж зөвхөн дэмжигдсэн төрлийг зөвшөөр (Жнь. `application/xml`, `application/json`, гэх мэт) бас төрөл нь таарахгүй бол `406 Not Acceptable` хариу буцаа. - [ ] `content-type` -ыг post хийх өгөгдөл дээр шалга (Жнь. `application/x-www-form-urlencoded`, `multipart/form-data`, `application/json`, г.м). - [ ] Хэрэглэгчээс гараас оруулсан утгыг шалгаж түгээмэл нүхнүүдээс сэргийлнэ. (Жнь. `XSS`, `SQL-Injection`, `Remote Code Execution`, г.м). - [ ] Чухал өгөгдлүүдийг (`credentials`, `Passwords`, `security tokens`, эсвэл `API keys`) URL ээр бүү явуул, оронд нь стандарт Authorization header ашигла. - [ ] Зөвхөн сервер талын шифрлэлтийг ашиглана уу. - [ ] API Gateway үйлчилгээ ашиглан Rate Limit Policies (Жнь. `Quota`, `Spike Arrest`, `Concurrent Rate Limit`) болон cache хийх, мөн API deploy хийхэд ашигла. ## Processing - [ ] Нэвтрэх явцад алдаа гарахаас сэргийлж бүх endpoint -уудыг нэвтрэх шаардлагатай эсэхийг шалгах. - [ ] Хэрэглэгчийн ID ашиглахаас зайлсхийх. `/user/654321/orders` үүний оронд `/me/orders` ашиглах. - [ ] Автоматаар нэмэгдэх ID бүү ашигла. `UUID` ашигла. - [ ] XML файл parse хийх үед entity parse бүү хий ингэснээр `XXE` (XML external entity attack) -аас сэргийлнэ. - [ ] XML файл parse хийх үед entity expansion бүү хий ингэснэр `Billion Laughs/XML bomb` дайралтаас сэргийлнэ. - [ ] Файл upload хийхэд CDN ашигла. - [ ] Их хэмжээний өгөгдөлтэй ажиллах үед Workers болон Queue ашиглан үйлдлийг аль болох background -д ажиллуулж хариуг хурдан явуулах нь HTTP Blocking -оос сэргийлнэ. - [ ] DEBUG горимыг унтраах. - [ ] Боломжтой үед гүйцэтгэх боломжгүй stack ашигла. ## Output - [ ] `X-Content-Type-Options: nosniff` header дээр явуул. - [ ] `X-Frame-Options: deny` header дээр явуул. - [ ] `Content-Security-Policy: default-src 'none'` header дээр явуул. - [ ] Ул мөр үлдээх `X-Powered-By`, `Server`, `X-AspNet-Version` header үүдыг устга. - [ ] `content-type` -ыг хүсэлтийн хариуд нь харгалзан буцаах, Хэрвээ `application/json` хүсэлт явсан бол хариуд нь `content-type` нь `application/json` байх. - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] Чухал өгөгдлүүд `credentials`, `Passwords`, `security tokens` бүү буцаа. - [ ] Тухайн ажилд тохирсон статус код илгээх. (Жнь. `200 OK`, `400 Bad Request`, `401 Unauthorized`, `405 Method Not Allowed`, г.м). ## CI & CD - [ ] unit/integration тест ашиглан системийн загварчлал, хэрэгжилтийг шалгах. - [ ] Код шалгалт ашигла, мөн өөрөө өөрийгөө ч шалга. - [ ] Бүх тусдаа хэсгүүд бүр vendor сан, бусад нэмэлт сангууд бүгдийг нь AV програмаар статикаар шалга. - [ ] Код дээрээ аюулгүй байдлын тестийг (статик/динамик анализ) тасралтгүй ажиллуул. - [ ] Мэдэгдэж буй сул талуудыг өөрийн хамаарлыг (програм хангамж болон үйлдлийн систем) шалгана уу. - [ ] Ямар ч үед deploy хийхэд амар шийдэл гаргах. ## Monitoring - [ ] Use centralized logins for all services and components. - [ ] Use agents to monitor all traffic, errors, requests, and responses. - [ ] Use alerts for SMS, Slack, Email, Telegram, Kibana, Cloudwatch, etc. - [ ] Ensure that you aren't logging any sensitive data like credit cards, passwords, PINs, etc. - [ ] Use an IDS and/or IPS system to monitor your API requests and instances. --- ## Мөн үзнэ үү: - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - RESTful HTTP+JSON API-г бүтээхэд хэрэгтэй нөөцүүдийн цуглуулга. - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # Оролцоо Энэ рэпод оролцох бол fork хийж өөрчлөлтөө оруулаад pull request үүсгэнэ үү. Асуулт байвал бидэнтэй холбогдоорой `team@shieldfy.io`. ================================================ FILE: README-nl.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български](./README-bg.md) | [বাংলা](./README-bn.md) | [Català](./README-ca.md) | [Čeština](./README-cs.md) | [Deutsch](./README-de.md) | [Ελληνικά](./README-el.md) | [Español](./README-es.md) | [فارسی](./README-fa.md) | [Français](./README-fr.md) | [हिंदी](./README-hi.md) | [Indonesia](./README-id.md) | [Italiano](./README-it.md) | [日本語](./README-ja.md) | [한국어](./README-ko.md) | [ພາສາລາວ](./README-lo.md) | [Македонски](./README-mk.md) | [മലയാളം](./README-ml.md) | [Монгол](./README-mn.md) | [Polski](./README-pl.md) | [Português (Brasil)](./README-pt_BR.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) # API Security Checklist Checklist met de belangrijkste tegenmaatregelen bij het ontwerpen, testen en uitbrengen van een API. --- ## Authenticatie - [ ] Gebruik geen `Basic Auth` Gebruik industrie standaarden. - [ ] Vind het wiel niet opnieuw uit voor `Authenticatie`, `Genereren van Tokens` en `Opslaan van Wachtwoorden`. Gebruik de standaarden. - [ ] Gebruik `Max Retry` en Jail features in de login. - [ ] Encrypt alle gevoelige data. ## Toegang - [ ] Limiteer het aantal requests om DDoS en/of Bruteforce aanvallen te ontkrachten. - [ ] Gebruik HTTPS aan de server zijde om MITM (Man In The Middle Attacks) tegen te gaan. - [ ] Gebruik de `HSTS` header i.c.m SSL om een SSL Strip attack te ontkrachten. - [ ] Schakel directoryvermeldingen uit. - [ ] Sta voor privé-API's alleen toegang toe vanaf op de witte lijst geplaatste IP's/hosts. ## Authorization ### OAuth - [ ] Valideer **ALTIJD** de `redirect_uri` op de server om alleen toegestane URL te accepteren. - [ ] Probeer altijd een exchange voor code, niet voor tokens (sta `response_type=token` niet toe). - [ ] Gebruik de `state` parameter met een random hash om CSRF op een OAuth authentication process te voorkomen. - [ ] Definieer een standaard scope, en valideer deze scope parameter voor elke applicatie. ## Invoer - [ ] Gebruik de correcte HTTP methode voor de operatie, `GET (lezen)`, `POST (schrijven)`, `PUT (vervangen/updaten)` and `DELETE (verwijderen)`. - [ ] Valideer de `content-type` header bij een request Accept header (Content Negotiation) om alleen de ondersteunde formaten toe te staan (b.v. `application/xml`, `application/json` ... enz) en stuur een `406 Not Acceptable` response als de `content-type` niet ondersteund is. - [ ] Valideer de `content-type` header van gestuurde data (b.v. `application/x-www-form-urlencoded`, `multipart/form-data`, `application/json` ... enz). - [ ] Valideer de gebruiker invoer om veel voorkomende kwetsbaarheden te voorkomen (v.b. `XSS`, `SQL-Injection`, `Remote Code Execution` ... enz). - [ ] Gebruik geen gevoelige data (`credentials`, `Wachtwoorden`, `security tokens`, of `API keys`) in de URL, maar gebruik de standaard Authorization header. - [ ] Gebruik alleen versleuteling aan de serverzijde. - [ ] Gebruik een API Gateway service voor caching, policies (b.v. `Quota`, `Spike Arrest`, `Concurrent Rate Limit`) en voor het dynamisch deployen van API middelen. ## Processing - [ ] Controleer dat alle endpoints zijn beschermd achter de authenticatie om het omzeilen van authenticatie te voorkomen. - [ ] Gebruik `/me/orders` i.p.v. `/user/654321/orders` om het 'lekken' van id's te voorkomen. - [ ] Gebruik geen auto increment id's. Maak gebruik van `UUID`. - [ ] Als je XML files parsed, controleer dat entity parsing niet aan staat om `XXE` (XML external entity attack) te voorkomen. - [ ] Als je XML files parsed, controleer dat entity expansion niet aan staat om `Billion Laughs/XML bomb` te voorkomen via `exponential entity expansion attack`. - [ ] Gebruik CDN voor het uploaden van bestanden. - [ ] Als er met grote/mega hoeveelheden data gewerkt wordt, gebruik dan Workers en Queues om snel een response te geven en HTTP Blocking te voorkomen. - [ ] Vergeet niet om de DEBUG mode uit te zetten. - [ ] Gebruik niet-uitvoerbare stacks indien beschikbaar. ## Output - [ ] Stel de `X-Content-Type-Options: nosniff` header in. - [ ] Stel de `X-Frame-Options: deny` header in. - [ ] Stel de `Content-Security-Policy: default-src 'none'` header in. - [ ] Verwijder vingerafdruk headers - `X-Powered-By`, `Server`, `X-AspNet-Version` enz. - [ ] Dwing `content-type` headers af voor de response. Als je `application/json` antwoordt, dan is de `content-type` : `application/json`. - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] Stuur geen gevoelige data terug: `Gebruikersnamen`, `Wachtwoorden`, `security tokens`. - [ ] Geef de correcte HTTP antwoord code terug op basis van de uitgevoerde operatie (v.b. `200 OK`, `400 Bad Request`, `401 Unauthorized`, `405 Method Not Allowed` ... enz). ## CI & CD - [ ] Controleer het ontwerp en de implementatie met unit/integration test dekking. - [ ] Gebruik een code review traject en controleer niet zelf je eigen code. - [ ] Scan de API voor het naar productie zetten door AV software, niet alleen eigen code maar ook de libraries en andere gebruikte dependencies. - [ ] Voer continu beveiligingstests (statische/dynamische analyse) uit op uw code. - [ ] Controleer uw afhankelijkheden (zowel software en besturingssysteem) op bekende kwetsbaarheden. - [ ] Ontwikkel een terugrol oplossing. ## Monitoring - [ ] Gebruik gecentraliseerde aanmeldingen voor alle services en componenten. - [ ] Gebruik agents om al het verkeer, fouten, verzoeken en reacties te monitoren. - [ ] Gebruik waarschuwingen voor SMS, Slack, E-mail, Telegram, Kibana, Cloudwatch, etc. - [ ] Zorg ervoor dat u geen gevoelige gegevens registreert, zoals creditcards, wachtwoorden, pincodes, enz. - [ ] Gebruik een IDS- en/of IPS-systeem om uw API-verzoeken en instanties te monitoren. --- ## Zie ook: - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - Een verzameling nuttige bronnen voor het bouwen van RESTful HTTP+JSON API's. - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # Contribution Voel u vrij om bij te helpen door deze repository te fork, wijzigingen aan te brengen, en pull requests in te dienen. Voor vragen kunt u ons mailen op `team@shieldfy.io`. ================================================ FILE: README-pl.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български](./README-bg.md) | [বাংলা](./README-bn.md) | [Català](./README-ca.md) | [Čeština](./README-cs.md) | [Deutsch](./README-de.md) | [Ελληνικά](./README-el.md) | [Español](./README-es.md) | [فارسی](./README-fa.md) | [Français](./README-fr.md) | [हिंदी](./README-hi.md) | [Indonesia](./README-id.md) | [Italiano](./README-it.md) | [日本語](./README-ja.md) | [한국어](./README-ko.md) | [ພາສາລາວ](./README-lo.md) | [Македонски](./README-mk.md) | [മലയാളം](./README-ml.md) | [Монгол](./README-mn.md) | [Nederlands](./README-nl.md) | [Português (Brasil)](./README-pt_BR.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) # Lista kontrolna bezpieczeństwa API Lista kontrolna najważniejszych metod zabezpieczenia podczas projektowania, testowania oraz wypuszczania własnego API. --- ## Uwierzytelnianie - [ ] Nie używaj `Basic Auth`. Użyj standardów uwierzytelniania. - [ ] Nie wynajduj koła na nowo podczas `Uwierzytelniania`, `generowanie tokenów`, `przechowywania haseł`. Użyj sprawdzonych standardów. - [ ] Dodaj `Maksymalną ilość prób` oraz inne opcje ograniczające podczas Logowania. - [ ] Szyfruj wszystkie wrażliwe (ważne) dane. ## Dostęp - [ ] Ustaw limit zapytań (Throttling) aby uniknąć ataku DDoS / brute-force. - [ ] Użyj HTTPS aby uniknąć MITM (Man In The Middle Attack) - Ataku polegającego na pośrednictwie w wymianie informacji pomiędzy dwoma punktami np. klientem i serwerem. - [ ] Użyj nagłówka `HSTS` z SSL aby uniknąć SSL Strip attack. - [ ] Wyłącz wykazy katalogów. - [ ] W przypadku prywatnych API, zezwalaj na dostęp tylko z adresów IP/hostów umieszczonych na białej liście. ## Authorization ### OAuth - [ ] Zawsze waliduj `redirect_uri` po stronie serwera aby zezwolić tylko URL-om z dozwolonej listy (`whitelist`). - [ ] Zawsze próbuj wymienić kodem nie tokenami (nie zezwalaj na `response_type=token`). - [ ] Użyj parametru `state` z losowym hashem aby zabezpieczyć proces OAuth przed atakiem CSRF. - [ ] Zdefiniuj oraz waliduj zakres parametrów dla każdej aplikacji. ## Wejście - [ ] Użyj odpowiedniej metody protokołu HTTP dla danej operacji: `GET (odczyt)`, `POST (tworzenie)`, `PUT/PATCH (zmiana)`, and `DELETE (usuwanie)`, i odpowiadaj `405 Method Not Allowed` jeżeli metoda zapytania jest niepoprawna. - [ ] Waliduj `content-type` podczas zapytań i zezwalaj jedynie na wymagane typy danych (np. `application/xml`, `application/json`) oraz odpowiadaj `406 Not Acceptable` jeżeli nie pasują. - [ ] Waliduj `content-type` informacji przekazywanych metodą POST (np. `application/x-www-form-urlencoded`, `multipart/form-data`, `application/json`). - [ ] Waliduj informacje wprowadzane przez użytkownika, aby uniknąć zagrożeń (np.. `XSS`, `SQL-Injection`, `Zdalne Wykonanie Skryptu`). - [ ] Nie używaj żadnych wrażliwych danych w URL, zamiast tego użyj standardowego nagłówka Autoryzującego. - [ ] Użyj tylko szyfrowania po stronie serwera. - [ ] Użyj usługi API Gateway aby włączyć caching oraz np. `Quota`, `Spike Arrest`, `Concurrent Rate Limit`. ## Przetwarzanie - [ ] Sprawdź czy wszystkie endpointy są zabezpieczone uwierzytelnianiem aby uniknąć niautoryzowanego dostępu. - [ ] Unikaj ukazywania ID użytkownika. Użyj np. `/me/orders` zamiast `/users/654321/orders/`. - [ ] Nie używaj auto inkrementacji w polu ID. Zamiast tego użyj `UUID`. - [ ] Jeżeli parsujesz pliki XML, upewnij się, że jesteś odporny na `XXE` (XML external entity attack) oraz `Billion Laughs/XML bomb`. - [ ] Użyj CDN do przechowywania wysyłanych plików. - [ ] Jeżeli pracujesz z dużą ilością danych, użyj procesów Workers oraz kolejkowania Queues aby przetworzyć jak najwięcej w tle i zwrócić informacje szybko aby uniknąć blokowania HTTP. - [ ] Nie zapomnij o wyłączeniu trybu debugowania. - [ ] Użyj niewykonywalnych stacks jeśli są dostępne. ## Wyjście - [ ] Wyślij nagłówek `X-Content-Type-Options: nosniff`. - [ ] Wyślij nagłówek `X-Frame-Options: deny`. - [ ] Wyślij nagłówek `Content-Security-Policy: default-src 'none'`. - [ ] Usuń nagłówki cyfrowego odcisku palca (digital fingerprint) - `X-Powered-By`, `Server`, `X-AspNet-Version`. - [ ] Wymuś `content-type` podczas zwracania danych. Jeżeli zwracasz `application/json` wtedy twój `content-type` to `application/json`. - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] Nie zwracaj ważnych informacji jak `dane uwierzytelniające`, `hasła`, `tokeny bezpieczeństwa`. - [ ] Zwróc odpowiedni status w zależności od operacji. (np. `200 OK`, `400 Bad Request`, `401 Unauthorized`, `405 Method Not Allowed`). ## CI & CD - [ ] Przetestuj wszystkie rozwiązania stosując testy jednostkowe. - [ ] Oddaj kod do przejrzenia innym, poddaj go `code review`. - [ ] Upewnij się, że wszystkie komponenty twojej usługi są skanowane przez oprogramowanie antywirusowe przed wejściem na produkcje. Uwzględnij także zewnętrzne biblioteki. - [ ] Ciągle uruchamiaj testy bezpieczeństwa (analiza statyczna/dynamiczna) w swoim kodzie. - [ ] Sprawdź swoje zależności (zarówno oprogramowanie i system operacyjny) pod kątem znanych luk w zabezpieczeniach. - [ ] Stwórz możliwość szybkiego wycofania udostępnionego wdrożenia. ## Monitorowanie - [ ] Użyj ze scentralizowanych logowań dla wszystkich usług i komponentów. - [ ] Użyj agentów do monitorowania całego ruchu, błędów, żądań i odpowiedzi. - [ ] Użyj alertów dla SMS, Slack, Email, Telegram, Kibana, Cloudwatch, itp. - [ ] Upewnij się, że nie rejestrujesz żadnych poufnych danych, takich jak karty kredytowe, hasła, kody PIN, itp. - [ ] Użyj systemu IDS i/lub IPS do monitorowania żądań i instancji API. --- ## Zobacz także: - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - [ENG] Zbiór wartościowych narzędzi do tworzenia REST HTTP+JSON API. - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # Contribution Możesz wnieść swój wkład, tworząc fork tego repozytorium, wprowadzając pewne zmiany i przesyłając pull request. W przypadku jakichkolwiek pytań napisz do nas email na adres `team@shieldfy.io`. ================================================ FILE: README-pt_BR.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български](./README-bg.md) | [বাংলা](./README-bn.md) | [Català](./README-ca.md) | [Čeština](./README-cs.md) | [Deutsch](./README-de.md) | [Ελληνικά](./README-el.md) | [Español](./README-es.md) | [فارسی](./README-fa.md) | [Français](./README-fr.md) | [हिंदी](./README-hi.md) | [Indonesia](./README-id.md) | [Italiano](./README-it.md) | [日本語](./README-ja.md) | [한국어](./README-ko.md) | [ພາສາລາວ](./README-lo.md) | [Македонски](./README-mk.md) | [മലയാളം](./README-ml.md) | [Монгол](./README-mn.md) | [Nederlands](./README-nl.md) | [Polski](./README-pl.md) | [Русский](./README-ru.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) # API Security Checklist Lista das mais importantes medidas de segurança para o desenvolvimento, teste e publicação da sua API. --- ## Autenticação (_Authentication_) - [ ] Não use `Basic Auth`. Use padrões de autenticação. - [ ] Não reinvente a roda nos quesitos `Autenticação`, `geração de tokens` e `armazenamento de senhas`. Use os padrões recomendados para cada caso. - [ ] Implemente funcionalidades de limite (_`Max Retry`_) e bloqueio de tentativas de autenticação. - [ ] Use criptografia em todos os dados confidenciais. ## Acesso (_Access_) - [ ] Limite a quantidade de requisições (_Throttling_) para evitar ataques DDoS e de força bruta. - [ ] Use HTTPS no seu servidor para evitar ataques MITM (_Man In The Middle Attack_). - [ ] Use cabeçalho `HSTS` com SSL para evitar ataques _SSL Strip_. - [ ] Desative as listagens de diretórios. - [ ] Para APIs privadas, permita o acesso apenas de IPs/hosts da lista branca (whitelist). ## Autorização (_Authorization_) ### OAuth - [ ] Sempre valide o `redirect_uri` no seu servidor através de uma lista de URLs conhecidas (previamente cadastradas). - [ ] Tente sempre retornar códigos de negociação, não o _token_ de acesso (não permita `response_type=token`). - [ ] Utilize o parâmetro `state` com um _hash_ aleatório para previnir CSRF no processo de autenticação OAuth. - [ ] Defina escopo de dados, e valide o parâmetro `scope` para cada aplicação. ## Requisição (_Input_) - [ ] Utilize o método HTTP apropriado para cada operação, `GET (obter)`, `POST (criar)`, `PUT/PATCH (trocar/atualizar)` e `DELETE (apagar)`. - [ ] Valide o tipo de conteúdo informado no cabeçalho `Accept` da requisição (_Content Negotiation_) para permitir apenas os formatos suportados pela sua API (ex. `application/xml`, `application/json` ... etc), respondendo com o status `406 Not Acceptable` se ele não for suportado. - [ ] Valide o tipo de conteúdo do conteúdo da requisição informado no cabeçalho `Content-Type` da requisição para permitir apenas os formatos suportados pela sua API (ex. `application/x-www-form-urlencoded`, `multipart/form-data, application/json` ... etc). - [ ] Valide o conteúdo da requisição para evitar as vulnerabilidades mais comuns (ex. `XSS`, `SQL-Injection`, `Remote Code Execution` ... etc). - [ ] Não utilize nenhuma informação sensível (credenciais, senhas, _tokens_ de autenticação) na URL. Use o cabeçalho `Authorization` da requisição. - [ ] Use apenas criptografia do lado do servidor. - [ ] Use um serviço _gateway_ para a sua API para habilitar _cache_, limitar acessos sucessivos (ex. por quantidade máxima permitida (_Quota_), por limitar tráfego em situações de estresse (_spike arrest_) ou por limitar o número de conexões simultâneas na sua API (_Concurrent Rate Limit_)), e facilitar o _deploy_ de novas funcionalidades. ## Processamento (_Processing_) - [ ] Verifique continuamente os _endpoints_ protegidos por autenticação para evitar falhas na proteção de acesso aos dados. - [ ] Não utilize a identificação do próprio usuário. Use `/me/orders` no lugar de `/user/654321/orders`. - [ ] Não utilize ID's incrementais. Use UUID. - [ ] Se você estiver processando arquivos XML, verifique que _entity parsing_ não está ativada para evitar ataques de XML externo (XXE - _XML external entity attack_). - [ ] Se você estiver processando arquivos XML, verifique que _entity expansion_ não está ativada para evitar _Billion Laughs/XML bomb_ através de ataques exponenciais de expansão de XML. - [ ] Use CDN para _uploads_ de arquivos. - [ ] Se você estiver trabalhando com uma grande quantidade de dados, use _workers_ e _queues_ (fila de processos) para retornar uma resposta rapidamente e evitar o bloqueio de requisições HTTP. - [ ] Não se esqueça de desativar o modo de depuração (_DEBUG mode OFF_). - [ ] Use stacks não executáveis quando disponíveis. ## Resposta (_Output_) - [ ] Envie o cabeçalho `X-Content-Type-Options: nosniff`. - [ ] Envie o cabeçalho `X-Frame-Options: deny`. - [ ] Envie o cabeçalho `Content-Security-Policy: default-src 'none'`. - [ ] Remova os cabeçalhos de identificação dos _softwares_ do servidor - `X-Powered-By`, `Server`, `X-AspNet-Version`. - [ ] Envie um cabeçalho `Content-Type` na sua resposta com o valor apropriado (ex. se você retorna um JSON, então envie um `Content-Type: application/json`). - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] Não retorne dados sensíveis como senhas, credenciais e tokens de autenticação. - [ ] Utilize o código de resposta apropriado para cada operação. Ex. `200 OK` (respondido com sucesso), `201 Created` (novo recurso criado), `400 Bad Request` (requisição inválida), `401 Unauthorized` (não autenticado), `405 Method Not Allowed` (método HTTP não permitido) ... etc. ## CI & CD - [ ] Monitore a especificação e implementação do escopo da sua API através de testes unitários e de integração. - [ ] Use um processo de revisão de código, ignorando sistemas de auto-aprovação. - [ ] Certifique-se de que todos os componentes de seus serviços sejam validados por _softwares_ AV (anti-vírus, anti-_malware_) antes de enviar para produção, incluindo as dependências de terceiros utilizadas. - [ ] Execute continuamente testes de segurança (análise estática/dinâmica) em seu código. - [ ] Verifique suas dependências (software e sistema operacional) para vulnerabilidades conhecidas. - [ ] Implemente funcionalidade de reversão de _deploy_ (_rollback_). ## Monitoramento (_Monitoring_) - [ ] Use logins centralizados para todos os serviços e componentes. - [ ] Use agentes para monitorar todo o tráfego, erros, solicitações, e respostas. - [ ] Use alertas para SMS, Slack, Email, Telegram, Kibana, Cloudwatch, etc. - [ ] Verifique se você não está registrando dados confidenciais, como cartões de crédito, senhas, PINs, etc. - [ ] Use um sistema IDS e/ou IPS para monitorar as solicitações e instâncias de sua API. --- ## Veja também: - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - Uma coleção de recursos úteis para a construção de API RESTful HTTP+JSON. - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding window rate limiting per API key and IP. - [ ] Use exponential backoff for repeated failed authentication attempts. - [ ] Implement CAPTCHA or proof-of-work challenges after suspicious activity. - [ ] Monitor and alert on unusual API usage patterns (time, volume, endpoints). ### GraphQL-Specific Security - [ ] Disable introspection in production environments. - [ ] Implement query depth limiting to prevent nested query attacks. - [ ] Use query cost analysis to prevent resource exhaustion. - [ ] Whitelist allowed queries in production when possible. ### Secrets Management - [ ] Rotate API keys and secrets on a regular schedule. - [ ] Use hardware security modules (HSM) for signing operations. - [ ] Implement secret scanning in CI/CD pipelines. - [ ] Never commit secrets to version control - use environment variables or secret managers. ### Zero Trust Architecture - [ ] Implement mutual TLS (mTLS) for service-to-service communication. - [ ] Validate all requests even from internal services. - [ ] Use short-lived tokens with automatic refresh. - [ ] Implement request signing for sensitive operations. --- # Contribuindo Sinta-se livre para contribuir, fazendo um fork deste repositório, fazendo algumas alterações e enviando um PR. Dúvidas, envie um e-mail para `team@shieldfy.io`. ================================================ FILE: README-ru.md ================================================ [English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български](./README-bg.md) | [বাংলা](./README-bn.md) | [Català](./README-ca.md) | [Čeština](./README-cs.md) | [Deutsch](./README-de.md) | [Ελληνικά](./README-el.md) | [Español](./README-es.md) | [فارسی](./README-fa.md) | [Français](./README-fr.md) | [हिंदी](./README-hi.md) | [Indonesia](./README-id.md) | [Italiano](./README-it.md) | [日本語](./README-ja.md) | [한국어](./README-ko.md) | [ພາສາລາວ](./README-lo.md) | [Македонски](./README-mk.md) | [മലയാളം](./README-ml.md) | [Монгол](./README-mn.md) | [Nederlands](./README-nl.md) | [Polski](./README-pl.md) | [Português (Brasil)](./README-pt_BR.md) | [ไทย](./README-th.md) | [Türkçe](./README-tr.md) | [Українська](./README-uk.md) | [Tiếng Việt](./README-vi.md) # Контрольный список безопасности API Чеклист наиболее важных контрмер по безопасности при разработке, тестировании и выпуске вашего API. --- ## Аутентификация - [ ] Не используйте `Basic Auth`. Используйте стандартную проверку подлинности. - [ ] Не изобретайте велосипед для `аутентификации`, `создании токенов`, `хранения паролей`. Используйте стандарты, проверенные библиотеки. - [ ] Используйте `Max Retry` и функции jail во время аутентификации. - [ ] Используйте шифрование для всех конфиденциальных данных. ## Доступ - [ ] Установите ограничение на кол-во запросов в минуту (Throttling, RPM-Limit), чтобы избежать DDoS / Brute Force атак. - [ ] Используйте HTTPS на стороне сервера, чтобы избежать [MITM](https://ru.wikipedia.org/wiki/Атака_посредника) (Man In The Middle Attack / атака "человек посередине"). - [ ] Используйте заголовок `HSTS` (HTTP Strict Transport Security) с SSL, чтобы избежать атаки SSL Strip (перехват SSL соединений). - [ ] Отключите списки каталогов. - [ ] Для частных API, разрешите доступ только с IP-адресов/хостов из белого списка. ## Авторизация ### OAuth - [ ] Всегда проверяйте `redirect_uri` на стороне сервера, чтобы разрешать только URL-адреса из белых списков (whitelist). - [ ] Всегда старайтесь использовать одноразовый code, а не токены (не использовать `response_type=token`). - [ ] Используйте параметр `state` со случайным хешем, чтобы предотвратить CSRF в процессе аутентификации OAuth. - [ ] Определите scope по умолчанию, а также проверяйте параметры для каждого приложения. ## Запрос - [ ] Используйте соответствующий HTTP-метод в соответствии с операцией: `GET (чтение)`, `POST (создание)`, `PUT / PATCH (замена / обновление)` и `DELETE (удаление)`, а также ответьте `405 Method Not Allowed`, если запрошенный метод не подходит для запрашиваемого ресурса. - [ ] Проверяй тип данных в заголовке `Accept`, чтобы разрешить только поддерживаемые форматы (например, `application/xml`, `application/json` и т.д.) И отвечайте `406 Not Acceptable`, если тип не поддерживается. - [ ] Проверяйте, сможете ли вы обработать тип получаемых данных (например, `application/x-www-form-urlencoded`, `multipart/form-data`, `application/json` и т.д.). - [ ] Проверьте пользовательский ввод во избежание распространенных уязвимостей (например: `XSS`, `SQL-инъекций`, `удаленное выполнение кода` и т.д.). - [ ] Не передавайте конфиденциальные данные (`учетные данные`, `пароли`, `токены` или `ключи API`) в URL-адресе, вместо него используйте стандартный заголовок `Authorization`. - [ ] Используйте только шифрование на стороне сервера. - [ ] Используйте единый API-шлюз, чтобы можно было настроить кеширование, ограничение на кол-во запросов, Spike Arrest, а также динамическое развертывание API. ## Обработка - [ ] Проверьте, защищены ли все точки входа аутентификацией, чтобы не нарушить процедуру проверки подлинности. - [ ] Следует избегать ID собственного ресурса. Используйте `/me/orders` вместо `/user/654321/orders`. - [ ] Не используйте автоинкремент для ID. Вместо этого используйте `UUID`. - [ ] Если вы разбираете XML-файлы, убедитесь, что парсинг сущностей выключен, чтобы избежать `XXE` (XML external entity). - [ ] Если вы разбираете XML-файлы, убедитесь, что расширение сущности выключено, чтобы избежать `Billion Laughs / XML bomb` через атаку экспоненциального расширения сущностей. - [ ] Используйте CDN для загрузки файлов. - [ ] Если вы имеете дело с огромным количеством данных, используйте Workers and Queues, чтобы обрабатывать как можно больше в фоновом режиме и быстро возвращать ответ, чтобы избежать блокирования HTTP. - [ ] Не забудьте выключить режим отладки (debug). - [ ] Используйте неисполняемые stack когда они доступны. ## Ответ - [ ] Отправляйте заголовок `X-Content-Type-Options: nosniff`. - [ ] Отправляйте заголовок `X-Frame-Options: deny`. - [ ] Отправляйте заголовок `Content-Security-Policy: default-src 'none'`. - [ ] Удалите заголовки, которые могут помочь злоумышленнику в исследовании вашего ресурса на уязвимости - `X-Powered-By`, `Server`, `X-AspNet-Version` и т.д. - [ ] Зафиксируйте `Content-Type` для вашего ответа, если вы возвращаете `application/json`, тогда запрос должен быть в `application/json`. - [ ] Do not return overly specific error messages to the client that could reveal implementation details, use generic messages instead, and log detailed information only on the server side. - [ ] Не возвращайте конфиденциальные данные, такие как `учетные данные`, `пароли`, `токены`. - [ ] Возвращайте код состояния в соответствии с итогами обработки. (Например: `200 OK`, `400 Bad Request`, `401 Unauthorized`, `405 Method Not Allowed` и т.д.). ## Непрерывная интеграция и Непрерывная доставка (CI & CD) - [ ] Проверяйте ваш проект во время CI/CD. Покрывайте код unit/интеграционными тестами. - [ ] Используйте процесс проверки кода (Code Review) коллегами. Не апрувьте сами себя (no Self-Approval). - [ ] Убедитесь, что ваше приложение сканируются с помощью антивирусов перед отправкой в прод, включая библиотеки и другие зависимости. - [ ] Постоянно запускайте тесты безопасности (статический/динамический анализ) вашего кода. - [ ] Проверьте свои зависимости (как программное обеспечение и ОС) на наличие известных уязвимостей. - [ ] Сделайте возможным быстрый откат на предыдущую версию. ## Мониторинг - [ ] Используйте централизованные входы для всех служб и компонентов. - [ ] Используйте агенты для мониторинга всего трафика, ошибок, запросов, и ответов. - [ ] Используйте оповещения для SMS, Slack, электронной почты, Telegram, Kibana, Cloudwatch, и т.д. - [ ] Убедитесь, что вы не регистрируете какие-либо конфиденциальные данные, такие как кредитные карты, пароли, PIN-коды, и т.д. - [ ] Используйте систему IDS и/или IPS для мониторинга запросов и экземпляров API. --- ## Смотрите также: - [yosriady/api-development-tools](https://github.com/yosriady/api-development-tools) - Сбор полезных ресурсов для создания RESTful HTTP+JSON API. - You don't need JWT, just use a randomly generated API key. If you need asymmetric encryption or tamper prevention, [here are some alternatives to JWT](https://kevin.burke.dev/kevin/things-to-use-instead-of-jwt/). --- ## API Security Best Practices (Advanced) ### Rate Limiting & Abuse Prevention - [ ] Implement sliding windo
gitextract_qys6qenu/ ├── CONTRIBUTING.md ├── LICENSE ├── README-ar.md ├── README-az.md ├── README-bg.md ├── README-bn.md ├── README-ca.md ├── README-cs.md ├── README-de.md ├── README-el.md ├── README-es.md ├── README-fa.md ├── README-fr.md ├── README-hi.md ├── README-id.md ├── README-it.md ├── README-ja.md ├── README-ko.md ├── README-lo.md ├── README-mk.md ├── README-ml.md ├── README-mn.md ├── README-nl.md ├── README-pl.md ├── README-pt_BR.md ├── README-ru.md ├── README-th.md ├── README-tr.md ├── README-tw.md ├── README-uk.md ├── README-vi.md ├── README-zh.md └── README.md
Condensed preview — 33 files, each showing path, character count, and a content snippet. Download the .json file or copy for the full structured content (255K chars).
[
{
"path": "CONTRIBUTING.md",
"chars": 1219,
"preview": "# Contributing\n\nContributions are **welcome** and will be fully **credited**.\n\nWe accept contributions via Pull Requests"
},
{
"path": "LICENSE",
"chars": 1065,
"preview": "MIT License\n\nCopyright (c) 2017 Shieldfy\n\nPermission is hereby granted, free of charge, to any person obtaining a copy\no"
},
{
"path": "README-ar.md",
"chars": 9607,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [Azərbaycan](./README-az.md) | [Български](./RE"
},
{
"path": "README-az.md",
"chars": 8375,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Български](./READM"
},
{
"path": "README-bg.md",
"chars": 8498,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-bn.md",
"chars": 7954,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-ca.md",
"chars": 8420,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-cs.md",
"chars": 8190,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-de.md",
"chars": 8585,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-el.md",
"chars": 8822,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-es.md",
"chars": 8173,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-fa.md",
"chars": 9894,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-fr.md",
"chars": 8547,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-hi.md",
"chars": 7884,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-id.md",
"chars": 8261,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-it.md",
"chars": 8171,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-ja.md",
"chars": 5856,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-ko.md",
"chars": 6063,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-lo.md",
"chars": 7833,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-mk.md",
"chars": 8188,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-ml.md",
"chars": 8552,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-mn.md",
"chars": 7378,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-nl.md",
"chars": 7848,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-pl.md",
"chars": 7719,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-pt_BR.md",
"chars": 8673,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-ru.md",
"chars": 8440,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-th.md",
"chars": 7774,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-tr.md",
"chars": 8341,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-tw.md",
"chars": 5507,
"preview": "[English](./README.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български]("
},
{
"path": "README-uk.md",
"chars": 8313,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-vi.md",
"chars": 8003,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./READ"
},
{
"path": "README-zh.md",
"chars": 5778,
"preview": "[English](./README.md) | [繁中版](./README-tw.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български]("
},
{
"path": "README.md",
"chars": 7663,
"preview": "[繁中版](./README-tw.md) | [简中版](./README-zh.md) | [العربية](./README-ar.md) | [Azərbaycan](./README-az.md) | [Български](."
}
]
About this extraction
This page contains the full source code of the shieldfy/API-Security-Checklist GitHub repository, extracted and formatted as plain text for AI agents and large language models (LLMs). The extraction includes 33 files (243.7 KB), approximately 78.1k tokens. Use this with OpenClaw, Claude, ChatGPT, Cursor, Windsurf, or any other AI tool that accepts text input. You can copy the full output to your clipboard or download it as a .txt file.
Extracted by GitExtract — free GitHub repo to text converter for AI. Built by Nikandr Surkov.