Pagina 1 di 1
Le API sono oggi il principale canale attraverso cui i dati aziendali escono dall'applicazione verso partner, app mobile, sistemi esterni. Sono anche, per questo motivo, uno dei target preferiti: autenticazione debole, autorizzazione assente o lasca, input validation fatta male, rate limiting non impostato.
In questa categoria scrivo di API security applicata: OAuth 2.0, JWT, scope, rate limiting, audit trail. Parliamone per un audit API, scopri il mio approccio.
Ogni microservizio PHP implementava la propria autenticazione JWT in modo leggermente diverso. Con Kong come API gateway, l'autenticazione è centralizzata e i servizi ricevono un header con l'utente già validato. Ho aggiunto rate limiting per client, logging centralizzato e circuit breaker - senza toccare il codice PHP. Continua a leggere
JWT è facile da implementare male. Ho trovato algorithm confusion attack (alg: none) in tre API Laravel auditate nell'ultimo anno - una vulnerabilità che permette di forgiare token validi senza conoscere il segreto. Vi spiego le vulnerabilità tipiche e il pattern di implementazione sicura con firebase/php-jwt. Continua a leggere
Un'API pubblica Laravel per la verifica dei codici fiscali veniva martellata da scraper: 4.000 richieste al minuto da IP singoli. Il throttle di default di Laravel non bastava. Ho implementato un sistema multi-livello: rate limit per IP, per chiave API, per endpoint e un adaptive rate limiter che scala in base al carico. Continua a leggere
Su cinque API Laravel con OAuth 2.0 auditate nell'ultimo anno, quattro avevano almeno una vulnerabilità critica nell'implementazione. La più comune era l'assenza di validazione del parametro state, che apre a attacchi CSRF sull'autorizzazione. Vi mostro le vulnerabilità, i payload di test e le fix. Continua a leggere
