Improper Inventory Management

سوء إدارة الجرد

what is:

  • هي مشكلة بتتعلق بكيفية إدارة ومتابعة واجهات برمجة التطبيقات (APIs) اللي بتستخدمها. لازم يكون عندك رؤية شاملة ودقيقة لكل واجهات الـ API اللي شغالة، وأي الإصدارات منها بتستخدم، ومين اللي عنده حق الوصول لكل واجهة

Example:

  • إصدارات قديمة من الـ APIs: لما تعمل تحديث من إصدار 3 إلى إصدار 4، هل الإصدار 3 لسه متاح للجميع؟ هل في ثغرات في الإصدار القديم مش موجودة في الإصدار الجديد؟ الهاكرز بيبحثوا عن الإصدارات القديمة لأن فيها ممكن يكون فيه ثغرات.

  • نقص في الأمان: الإصدارات القديمة ممكن تحتوي على نقاط ضعف أو مش تم تصحيحها، مما يجعلها هدف سهل للهجمات.

عندك تطبيق يستخدم واجهات برمجة تطبيقات (APIs) لعرض البيانات. قمت بتحديث API من الإصدار 1.0 إلى 2.0.

ماذا يحدث؟

  • الإصدار القديم (1.0) لسه شغال ومتاح للمستخدمين.

  • الـ API القديم (1.0) في ثغرات معروفة، لكن النسخة الجديدة (2.0) تصلح هذه الثغرات.

  • المهاجمين يستغلون الإصدار القديم للوصول إلى بيانات حساسة

نتيجة السيناريو

لو كنت متابع بشكل صحيح للإصدارات، كان يمكنك إغلاق الإصدار القديم أو تحذير المستخدمين من التحديث، مما يقلل من فرص حدوث هجمات

Prevention:

  • تتبع كل واجهات الـ API: لازم يكون عندك نظام يراقب كل واجهات الـ API اللي بتستخدمها، سواء كانت جديدة أو قديمة.

  • إصدار تحديثات: كلما تصدر إصدار جديد من الـ API، لازم تقرر متى هترجع الإصدار القديم ومتى هتقفل الوصول ليه.

  • تحكم في الوصول: لازم تتأكد إن الأشخاص اللي عندهم وصول للـ API هم فعلاً محتاجين ذلك. دا ممكن يكون من خلال مراجعات دورية.

  • استخدام بوابة API (API Gateway): ممكن تستخدم بوابة API عشان تنظم الوصول لكل واجهات الـ API وتضمن إن كل واجهة مرت بتجارب وعمليات مراجعة قبل ما تشتغل

scenarios:

PreviousSecurity MisconfigurationNextUnsafe Consumption of APIs

Last updated