API1:2019 خلل التفويض والصلاحيات |
تقوم واجهة برمجة التطبيقات API الى كشف بعض المعلومات عن مصدر التعامل مع الطلبات وهو بالعادة يكون (endpoints) التي تتعامل مع الطلبات الناشئة مما قد يؤدي الى مشكلة في التحكم في مستوى صلاحيات الوصول ، حيث يجب ان يكون هناك مستوى صلاحيات محدد ومعرف ومحدود لكل طلب يتم ارساله الى مصدر البيانات بواسطة المستخدمين. |
API2:2019 خلل في صلاحيات المستخدم |
غالبًا ما يتم تنفيذ آليات المصادقة بشكل غير صحيح ، مما يسمح للمهاجمين باختراق معايير المصادقة أو استغلال الثغرات المنطقية في آلية عمل التطبيق مما تسمح له بانتحال هويات المستخدمين الاخرين بشكل مؤقت أو دائم. حيث ان اختراق النظام او آلية تحديد هوية المستخدم هو خطر على API بشكل عام. |
API3:2019 خلل في استعراض البيانات |
ان تنصيب التقنيات بدون مراعات تغير الاعدادت الافتراضية التي قد تودي الى الكشف عن خصائص ومعلومات وبيانات هامة ولا يجب الاعتماد باي شكل من الاشكال على عوامل التصفية لدى المستخدم قبل عرضها. |
API4:2019 ضعف في البنية التحتية و حد محاولات الطلبات |
في كثير من الأحيان ، لا تفرض واجهات برمجة التطبيقات أي قيود على حجم أو عدد الموارد التي يمكن أن يطلبها العميل / المستخدم. ليس فقط يمكن لهذا تأثير على أداء الخادم API، بل قد يؤدي إلى هجمات حجب الخدمة (DoS)، وكذلك يمكن المهاجم من استخدام هجمة كسر كلمات المرور. |
API5:2019 ضعف في التحقق من الهوية وادارة الصلاحيات و التفويض |
تميل سياسات التحكم في الوصول المعقد ذات المجموعات والأدوار المختلفة ، والفصل غير الواضح بينهم في الصلاحيات الإدارية والعادية ، إلى عيوب في التفويض والصلاحيات. والتي تمكن المهاجم من استغلال هذا الضعف في الوصول إلى المستخدمين الآخرين و تصعيد الصلاحيات الى صلاحيات إدارية. |
API6:2019 خلل في التعين او التعديل |
يؤدي ادخال البيانات المقدمة من المستخدم على سبيل المثال ادخال البيانات في ملف (Json) دون عوامل تصفية او قوائم فلترة خاصة مبنية على قوائم بيضاء الى خلل في التعديل او التعين والذي يسمح للمهاجمين بقراءة بيانات او طلب معلومات غير مصرح بها. |
API7:2019 الاعداد الخاطئ |
عادة ما يكون الاعدادت الخاطئة او الاعتماد على الاعدادات الافتراضية او الاعدادات و التغيرات الغير مخطط لها مسبقاً او البيانات السحابية الغير مؤمنه او الاخطاء في اعدادات طلبات بروتوكول HTTP او مشاركة الموارد (CORS) او رسائل الخطأ التفصيلية التي تحتوي على معلومات حساسة. |
API8:2019 الحقن |
تحدث عمليات استغلال الحقن SQL، NoSQL و Command Injection.. الخ عند ارسال معلومات او بيانات او طلبات او اوامر الى المفسر حيث يتم خداع المفسر لطلب وتنفيذ تعليمات او الحصول على بيانات غير مصرح باستخدامها. |
API9:2019 خلل في ادارة الاصول |
تميل واجهات برمجة التطبيقات API الى الكشف عن مصادر البيانات (Endpoints) مما يجعل عمليات التوثيق في المستندات لجميع التغيرات في غاية الاهمية ويجب الحذر عند اجراءها، حيث ان اعدادت وتنصيب الخوادم بشكل صحيح عند تثبيت API مهم جداً في تقليل الاخطاء التي قد تؤدي الى الكشف عن البيانات على سبيل المثال الاصدار الخاص بـAPI او واجهة معالج الاخطاء الخاصة به. |
API10:2019 خلل في طريقة تسجيل الاحداث والمراقبة |
ان التسجيل الغير صحيح للاحداث و المراقبة لها يؤدي الى ضعف عملية الاستجابة للحوادث، مما يسمح للمهاجم بالعودة مره اخرى او حتى البقاء داخل الشبكة او التنقل داخل الشبكة او الاطلاع و التلاعب و تسريب البيانات حيث تٌظهر معظم الدراسات ان الوقت اللازم لاكتشاف الاختراقات يزيد عن 200 يوم وعادة ما يتم اكتشاف تلك الاختراقات من اطراف خارجية بدلاً من المراقبة بسبب ضعفها. |