リクエスト スニッフィング攻撃からモバイル アプリの API を保護するにはどうすればよいでしょうか?

リクエストをスニッフィングしてキーを提供する場合のモバイル アプリの API REST の保護

概要

API Basic のような認証方法にもかかわらず認証、API キー、OAuth 2.0 により、ハッカーはリクエストを盗聴することがよくありますモバイルアプリで認証に使用される「キー」を公開します。これにより、アプリを使用しているかのように API にアクセスできるようになります。では、モバイル アプリで使用される API を保護する方法はありますか?

「何を」と「誰が」の違い

API リクエストを認証するとき、 「何が」リクエストを行っているのか（モバイルアプリ）、「誰が」API にアクセスしているのか（モバイルアプリ）を区別することが重要です。 user).

モバイル アプリのなりすまし

攻撃者はプロキシを使用してモバイル アプリから認証キーを簡単に抽出でき、アプリになりすまして API 呼び出しを行うことができます。

モバイルの強化とシールドアプリ

モバイルの強化およびシールド ソリューションは、侵害されたデバイスや改変されたアプリが API にアクセスすることを防止しようとします。ただし、これらのソリューションは確実ではなく、バイパスされる可能性があります。

API サーバーのセキュリティ保護

• 基本的な防御: HTTPS、API キー、ユーザーエージェント、CAPTCHA、およびIPアドレスを基本APIに使用できます
• 高度な防御: API キー、HMAC、OAuth、および証明書の固定によりセキュリティを強化できます。
• 外部ソリューション: reCAPTCHA V3、Webアプリケーション ファイアウォール (WAF) とユーザー行動分析 (UBA) により、API をさらに改善できますセキュリティ。
• モバイル アプリ認証: このソリューションは、API アクセスを許可する前にモバイル アプリとデバイスの整合性を検証し、アプリでの API キーの必要性を排除します。

さらに進化Mile

• OWASP モバイル セキュリティ テスト ガイド: モバイル アプリのセキュリティ テストのガイドラインを提供します。
• OWASP API セキュリティ トップ 10: 一般的な API セキュリティ リスクと軽減戦略の概要を説明します。

以上がリクエスト スニッフィング攻撃からモバイル アプリの API を保護するにはどうすればよいでしょうか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。