Mục lục
Giới Hạn Yêu Cầu
Hạn chế các yêu cầu (giới hạn) để tránh các cuộc tấn công DDoS / Brute Force.
Giới hạn yêu cầu thông qua việc điều tiết là điều quan trọng để ngăn chặn các cuộc tấn công DDoS và các cuộc tấn công brute force. Các cuộc tấn công DDoS làm quá tải máy chủ bằng quá nhiều yêu cầu, còn các cuộc tấn công brute force cố gắng đoán thông tin đăng nhập của người dùng thông qua nhiều lần đăng nhập. Việc điều tiết giới hạn số lượng yêu cầu có thể được gửi trong một khoảng thời gian nhất định, khiến việc thực hiện các loại tấn công này trở nên khó khăn hơn. Điều này có thể bảo vệ hệ thống khỏi bị quá tải và ngăn chặn các kẻ tấn công truy cập trái phép.
Sử Dụng HTTPS
Sử dụng HTTPS ở phía máy chủ và các thuật mã an toàn
Đảm bảo rằng máy chủ API của bạn sử dụng HTTPS thay vì HTTP. HTTPS là một giao thức an toàn mã hóa dữ liệu trong quá trình truyền, làm cho việc các kẻ tấn công đánh chặn và đọc thông tin nhạy cảm trở nên khó khăn. Để triển khai HTTPS, bạn cần có chứng chỉ SSL/TLS và cấu hình máy chủ để sử dụng HTTPS. HTTPS sử dụng các thuật mã để mã hóa dữ liệu trong quá trình truyền. Việc chọn các thuật mã an toàn kháng tấn công và cung cấp mã hóa mạnh là rất quan trọng. Một số thuật mã an toàn phổ biến bao gồm AES, ChaCha20 và ECDHE để trao đổi khóa. Hãy chắc chắn vô hiệu hóa các thuật mã yếu và lỗi thời, chẳng hạn như RC4 và TLS 1.0/1.1, vì chúng dễ bị tấn công.
Tiêu Đề HSTS
Sử dụng tiêu đề HSTS với SSL để tránh các cuộc tấn công SSL Strip.
SSL strip là một loại tấn công trong đó kẻ tấn công đánh chặn lưu lượng giữa máy khách và máy chủ được dự định bảo mật bằng mã hóa SSL/TLS, và hạ cấp kết nối xuống kết nối HTTP văn bản thuần (không mã hóa). Loại tấn công này có thể không bị người dùng nhận ra vì kẻ tấn công có thể chuyển hướng người dùng đến một trang web giả mạo cũng sử dụng HTTP thay vì HTTPS. Trong một cuộc tấn công SSL strip, kẻ tấn công thiết lập vị trí trung gian (MITM) giữa máy khách và máy chủ. Khi máy khách khởi tạo kết nối với máy chủ, kẻ tấn công đánh chặn lưu lượng SSL/TLS và loại bỏ hoặc thay thế các liên kết HTTPS bằng các liên kết HTTP. Điều này có thể làm cho người dùng nghĩ rằng họ đang sử dụng kết nối an toàn, nhưng thực tế thì không. Kẻ tấn công sau đó có thể theo dõi và thao túng dữ liệu được truyền giữa máy khách và máy chủ. Tiêu đề HSTS là một tiêu đề bảo mật hướng dẫn trình duyệt chỉ truy cập trang web qua HTTPS. Tiêu đề này được sử dụng để ngăn chặn các cuộc tấn công SSL Strip. Việc sử dụng tiêu đề HSTS với SSL là một thực hành tốt.
Danh Sách Thư Mục
Tắt danh sách thư mục
Danh sách thư mục là một tính năng của các máy chủ web cho phép người dùng xem nội dung của một thư mục trên máy chủ. Theo mặc định, các máy chủ web thường có tính năng danh sách thư mục được bật, nghĩa là bất kỳ ai có quyền truy cập vào máy chủ đều có thể xem tất cả các tệp và thư mục trong một thư mục nhất định. Việc tắt danh sách thư mục là quan trọng đối với bảo mật API vì nó ngăn các kẻ tấn công truy cập vào các tệp và thư mục nhạy cảm trên máy chủ. Nếu danh sách thư mục được bật và một kẻ tấn công truy cập vào máy chủ, họ có thể dễ dàng xem và tải xuống bất kỳ tệp nào không được bảo vệ đúng mức. Bằng cách vô hiệu hóa danh sách thư mục, bạn có thể đảm bảo rằng chỉ những người dùng được ủy quyền mới có thể truy cập các tệp và thư mục trên máy chủ.
Hạn Chế API Riêng Tư
API riêng tư chỉ nên được truy cập từ các địa chỉ IP được liệt kê an toàn
API riêng tư chỉ nên được truy cập từ các địa chỉ IP được liệt kê an toàn để đảm bảo chỉ những người dùng hoặc hệ thống được ủy quyền mới có thể truy cập API. Bằng cách hạn chế truy cập vào các địa chỉ IP cụ thể, bạn có thể ngăn chặn truy cập trái phép từ các mạng bên ngoài hoặc các nhân viên độc hại. Điều này có thể giúp bảo vệ dữ liệu nhạy cảm và ngăn chặn các cuộc tấn công như DDoS hoặc brute-force. Ngoài ra, việc hạn chế truy cập vào các địa chỉ IP được liệt kê an toàn có thể giúp đảm bảo độ tin cậy và hiệu suất của API bằng cách ngăn chặn lưu lượng truy cập quá mức từ các nguồn không được ủy quyền.