Безопасность API: что должен знать заказчик веб-проекта

Почему безопасность API — это ваша проблема тоже

API — это интерфейс, через который данные вашего приложения становятся доступны снаружи. Фронтенд, мобильное приложение, партнёрские интеграции — все они работают через API. Незащищённый API — это открытая дверь к данным пользователей, финансовым операциям и внутренней логике системы.

Большинство громких утечек данных происходит именно через уязвимости API. И в большинстве случаев это не rocket science — это базовые защитные меры, которые не были реализованы.

Основные угрозы

Broken Authentication — слабая или неправильно реализованная авторизация. Позволяет злоумышленнику получить доступ к чужим данным или административным функциям. Пример: токен не валидируется на сервере, принимается любой.

Broken Object Level Authorization (BOLA) — самая распространённая уязвимость API. Пользователь запрашивает /orders/42 и получает чужой заказ, потому что сервер не проверяет, принадлежит ли ресурс запрашивающему.

Excessive Data Exposure — API возвращает больше данных, чем нужно клиенту. Например, при запросе профиля возвращается хэш пароля или внутренний ID.

Rate Limiting Absence — без ограничений на частоту запросов возможны атаки перебором паролей, DDoS и злоупотребление дорогими операциями.

Injection — SQL-инъекции и другие атаки через входные данные, переданные в API.

Минимальные требования к безопасности API

• Все эндпоинты требуют аутентификации, кроме явно публичных.
• Каждый запрос к данным проверяет права доступа: принадлежит ли ресурс этому пользователю.
• API не возвращает лишних полей — только то, что нужно клиенту.
• Настроен rate limiting: ограничение количества запросов с одного IP/токена.
• Все входящие данные валидируются и санируются.
• Чувствительные данные (пароли, платёжные данные) не логируются.
• HTTPS обязателен — никакого HTTP для API.

Что включить в ТЗ

При заказе разработки явно зафиксируйте требования к безопасности API: аутентификация через JWT или OAuth2, проверка прав на уровне объектов, rate limiting на все эндпоинты, валидация входных данных, логирование без чувствительных данных. Если подрядчик говорит «это само собой разумеется» — попросите подтвердить это в ТЗ. Что не зафиксировано — не существует.

Вывод

Безопасность API — это не паранойя, а обязательная часть любого проекта, работающего с данными пользователей. Базовые меры защиты несложны и закладываются в архитектуру с первого дня значительно дешевле, чем устраняются после инцидента.