L'autre soir, j'\u00e9tais en train de d\u00e9boguer une API pour une plateforme de r\u00e9seautage social quand soudain l'alarme de surveillance s'est d\u00e9clench\u00e9e - des dizaines de milliers de requ\u00eates par seconde \u00e9taient en train d'affluer et d'ass\u00e9cher le serveur. Et devinez quoi ? Il ne s'agit pas d'une attaque complexe, mais d'un simple script d'enfant appelant fr\u00e9n\u00e9tiquement l'interface de connexion et essayant de craquer par force brute le mot de passe de l'utilisateur. De nos jours, les API sont devenues la viande et les pommes de terre des pirates, en particulier les applications sociales, les donn\u00e9es des utilisateurs, l'interaction fr\u00e9quente, un peu d'inattention sera poignard\u00e9e.<\/p>\n
Un CDN social \u00e0 haute d\u00e9fense n'est pas juste pour le spectacle, il doit garder votre passerelle API comme un chien de garde. J'ai constat\u00e9 que de nombreuses \u00e9quipes pensaient pouvoir \u00eatre tranquilles avec un CDN, mais qu'elles n'avaient pas la couche de protection de l'API et qu'elles avaient \u00e9t\u00e9 balay\u00e9es au point d'\u00eatre refus\u00e9es par leur m\u00e8re. Ne croyez pas \u00e0 ces absurdit\u00e9s de \u201cprotection en un clic\u201d, la vraie s\u00e9curit\u00e9 doit commencer par l'authentification et la limite de fr\u00e9quence, ou le CDN ne peut pas emp\u00eacher l'abus de l'API par l'initi\u00e9.<\/p>\n
Commen\u00e7ons par insister sur le caract\u00e8re cruel des attaques contre les API. Les attaques les plus courantes sont les inondations DDoS, les injections SQL, le credential stuffing et m\u00eame l'\u00e9num\u00e9ration des points de terminaison des API - les pirates analysent vos interfaces comme dans un supermarch\u00e9, \u00e0 la recherche de cibles faciles \u00e0 pincer. Les applications sociales sont particuli\u00e8rement vuln\u00e9rables : l'interface de contenu g\u00e9n\u00e9r\u00e9 par l'utilisateur (UGC), l'API de la liste d'amis, le push de messages sont autant de cibles. L'ann\u00e9e derni\u00e8re, un de mes clients utilisait CDN07, qui \u00e9tait assez stable, mais l'API ne fixait pas de limites, le crawler s'est empar\u00e9 de centaines de milliers d'informations sur les utilisateurs, et a perdu le fond du ciel.<\/p>\n
Pourquoi les CDN ordinaires ne peuvent-ils pas s'en charger ? Parce qu'ils se concentrent sur la mise en cache et la distribution du trafic, mais les demandes d'API sont souvent dynamiques et doivent \u00eatre trait\u00e9es en temps r\u00e9el, elles ne peuvent donc pas \u00eatre mises en cache. Un CDN \u00e0 haute d\u00e9fense doit \u00eatre comme un couteau suisse, avec une protection multidimensionnelle. Par exemple, le programme de CDN5, dont j'ai d\u00e9mont\u00e9 l'architecture, en plus du nettoyage DDoS r\u00e9gulier, mais aussi de l'empreinte API int\u00e9gr\u00e9e, peut distinguer les utilisateurs normaux des robots, ce qui est dix fois plus intelligent qu'une simple liste noire d'adresses IP.<\/p>\n
En ce qui concerne les solutions, il n'y en a que deux principales : l'authentification de l'API et la limitation de la fr\u00e9quence. L'authentification permet de voir qui a un permis d'entr\u00e9e, et la limitation de fr\u00e9quence permet de l'emp\u00eacher de se promener. J'ai d'abord pulv\u00e9ris\u00e9 le forensics - beaucoup d'\u00e9quipes avec Basic Auth osent aller en ligne, les mots de passe en texte clair, ce n'est pas une invitation \u00e0 d\u00eener pour les hackers ? Il faut au moins \u00eatre sur OAuth 2.0 ou JWT, avec signature et limite de temps.<\/p>\n
Le JWT est celui qui joue le plus, il est l\u00e9ger et flexible. Par exemple, les plateformes sociales l'utilisent pour g\u00e9rer les sessions des utilisateurs, en int\u00e9grant dans le jeton l'identifiant de l'utilisateur et les permissions, les n\u0153uds p\u00e9riph\u00e9riques du CDN v\u00e9rifient directement les signatures, r\u00e9duisant ainsi la pression sur le back-end. Mais attention \u00e0 ne pas ins\u00e9rer de donn\u00e9es sensibles dans le payload, j'ai vu un ami \u00e9crire son mot de passe dans le token, et ensuite le token a \u00e9t\u00e9 intercept\u00e9, et la communaut\u00e9 est morte directement. L'attitude correcte consiste \u00e0 signer avec HS256 ou RS256, et la rotation des cl\u00e9s est r\u00e9guli\u00e8rement engag\u00e9e.<\/p>\n
Afficher un extrait de mon intergiciel judiciaire Node.js habituel et le placer dans la logique du bord du CDN pour qu'il s'ex\u00e9cute :<\/p>\n
Ce code est plac\u00e9 dans la fonction edge du CDN5 a \u00e9t\u00e9 test\u00e9, 100 000 requ\u00eates par seconde sans hal\u00e8tement. Mais l'analyse l\u00e9gale l\u00e9g\u00e8re n'est pas suffisante, la limite de fr\u00e9quence est l'anti-abus de la mise \u00e0 mort. De nombreuses API ont \u00e9t\u00e9 explos\u00e9es parce qu'il n'y a pas de limite de vitesse, les pirates peuvent prendre un pool d'IP proxy pour vous d\u00e9busquer.<\/p>\n
La limitation de fr\u00e9quence doit \u00eatre d\u00e9ploy\u00e9e en plusieurs couches : une couche \u00e0 la p\u00e9riph\u00e9rie du CDN, une couche au niveau de la passerelle API et une autre couche pour la logique d'entreprise. Je recommande l'algorithme du seau \u00e0 jetons, la limitation du flux lisse peut \u00e9galement \u00eatre utilis\u00e9e pour g\u00e9rer les pics. Par exemple, le CDN social de 08Host int\u00e8gre une limitation dynamique du d\u00e9bit, un contr\u00f4le multidimensionnel bas\u00e9 sur l'IP, l'ID utilisateur et les points d'extr\u00e9mit\u00e9 de l'API, ce qui est bien plus intelligent que des seuils fixes.<\/p>\n
Exemple de configuration : modification des limites de fr\u00e9quence dans Nginx, mise en place de n\u0153uds p\u00e9riph\u00e9riques CDN :<\/p>\n
Cela permet de fixer un maximum de 10 requ\u00eates par IP et par seconde, avec des rafales permettant \u00e0 20 d'entre elles de passer directement, et l'exc\u00e8s de traitement diff\u00e9r\u00e9. J'ai aid\u00e9 une application sociale \u00e0 ajuster ce param\u00e8tre, les attaques d'API ont chut\u00e9 de 90%, l'utilisateur ne l'a pas per\u00e7u. Mais ne copiez pas ah, selon l'ajustement de l'entreprise - la limite de l'interface d'enregistrement est stricte, le t\u00e9l\u00e9chargement d'images peut \u00eatre assoupli.<\/p>\n
Le point fort de CDN5 est l'int\u00e9gration du WAF et de la gestion des API, j'ai test\u00e9 leur cha\u00eene d'authentification supportant OAuth et JWT out-of-the-box, inqui\u00e9tant. 08Host bowl bon march\u00e9, la fr\u00e9quence limite la flexibilit\u00e9 de configuration, adapt\u00e9 pour le d\u00e9marrage d'applications sociales. Je ne suis pas s\u00fbr que vous serez en mesure de le faire.<\/p>\n
Enfin : la s\u00e9curit\u00e9 de l'API n'est pas une question \u00e0 r\u00e9gler une fois pour toutes, elle doit \u00eatre surveill\u00e9e en permanence. J'ai enfoui des points dans les logs du CDN, l'analyse en temps r\u00e9el des mod\u00e8les de demande, les anomalies imm\u00e9diatement des alertes. Les applications sociales, en particulier, pour emp\u00eacher les crawlers \u201camicaux\u201d - ils se font passer pour des utilisateurs normaux, ralentissent l'exploration des donn\u00e9es, les restrictions de fr\u00e9quence doivent utiliser l'algorithme de la fen\u00eatre glissante pour les traiter.<\/p>\n
En bref, la protection des API est comme une relation : il faut \u00e0 la fois faire confiance et v\u00e9rifier. Un CDN \u00e0 haute d\u00e9fense est votre premi\u00e8re ligne de d\u00e9fense, mais l'authentification et les limites de vitesse sont essentielles. Si vous faites des erreurs, m\u00eame le CDN le plus cher n'est plus qu'un tigre de papier. N'oubliez pas que les pirates informatiques ne font pas de sieste et que vos API doivent \u00eatre plus \u00e9veill\u00e9es que le caf\u00e9.<\/p>","protected":false},"excerpt":{"rendered":"
L'autre soir, j'\u00e9tais en train de d\u00e9boguer une API pour une plateforme de r\u00e9seautage social quand soudain l'alarme de surveillance s'est d\u00e9clench\u00e9e - des dizaines de milliers de requ\u00eates par seconde \u00e9taient en train d'affluer et d'ass\u00e9cher le serveur. Et devinez quoi ? Il ne s'agit pas d'une attaque complexe, mais d'un simple script d'enfant appelant fr\u00e9n\u00e9tiquement l'interface de connexion et essayant de craquer par force brute le mot de passe de l'utilisateur. De nos jours, les API sont devenues la viande et les pommes de terre des pirates, en particulier les applications sociales, les donn\u00e9es des utilisateurs, l'interaction fr\u00e9quente, un peu d'inattention sera poignard\u00e9e. Un CDN social \u00e0 haute d\u00e9fense n'est pas une simple installation, il doit garder votre passerelle API comme un chien de garde. J'ai constat\u00e9 que de nombreuses \u00e9quipes pensent qu'un CDN leur permettra d'\u00eatre tranquilles, et par cons\u00e9quent, elles ont manqu\u00e9 la couche de protection de l'API et ont \u00e9t\u00e9 bross\u00e9es dans le sens du poil. Ne croyez pas \u00e0 ces absurdit\u00e9s de \u201cprotection en un clic\u201d, la vraie s\u00e9curit\u00e9 doit commencer par l'authentification et la limite de fr\u00e9quence, ou bien !<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-956","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/956","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=956"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/956\/revisions"}],"predecessor-version":[{"id":1169,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/956\/revisions\/1169"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=956"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=956"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=956"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=956"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}