API/セキュリティ
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
-[[OWASP (Open Web Application Security Project) Japan:ht...
-[[Open API Initiative:https://www.openapis.org/]]
--[[OAS (Open API Specification) Version 3.1.0:https://sp...
-[[APIセキュリティ入門(1):APIをエッジで制御する意味と...
-[[APIセキュリティ入門(2):APIの認証と認可をスケールす...
-[[APIセキュリティ入門(3):キャッシュの活用と過度なリク...
-[[APIセキュリティ入門(4):開発者が知るべきAPIセキュリ...
-[[APIセキュリティ入門(5):API開発者が知っておくべき、A...
-[[APIセキュリティ入門(6):API開発者が知っておくべき、A...
-[[APIテクニカルガイドブック:https://cio.go.jp/sites/defa...
-[[クレジットカードデータ利用に係るAPIガイドライン:https:...
-[[APIのセキュリティ対策をガートナーが解説、具体的に押さ...
-[[APIとは?仕組みや認証方法・セキュリティ面について:http...
-[[EC事業者を狙うAPI攻撃。知っておくべき危険性と対処法:ht...
-[[「銀行API公開」のセキュリティで金融機関、TPPs、ユーザ...
-[[Web APIの公開はセキュリティが不安…安全にAPIを公開する...
-[[APIのセキュリティ対策 ~Web APIを安全に公開するために...
-[[APIを安全に利用する4つのセキュリティ対策、具体的な実装...
-[[OAuth2.0 に対する脅威と対策:金融オープン API の一段の...
*設計ポイント [#de7072aa]
-攻撃対象領域を最小限に抑える
-本当に必要なものだけと公開・要求すべき
-コンシューマには、本当に必要なものを使うことだけを許可す...
-セキュリティを確保するには、アクセス制御にどのデータが必...
-APIの設計者は、APIの設計を完全にセキュアな状態に保つため...
**アプリケーションのアクセス制御 [#y3f83602]
**エンドユーザのアクセス制御 [#w5b739a4]
**センシティブな内容 [#t9dc1dd0]
***センシティブなデータへの対処 [#xfaab901]
-シーケンシャルなIDを返すことは止めた方が良い
--シーケンシャルなデータは他人のデータにアクセスを試みる...
***センシティブなゴールへの対処 [#q4fa4a86]
***セキュアなエラーフィードバック [#k8c256be]
-403 Forbidden
--データへのアクセス不許可 → データが存在することを暗に認...
--「404 Not Found」レスポンスに変えることも検討する
-500 Internal Server Error
--APIのベースとなっている技術スタックに関する詳細情報が提...
--APIの内部で実際に稼働しているものの手がかりになるような...
***ログ記録 [#ge9649b1]
-URLがログに記録される場合は、センシティブな情報が一切含...
*API呼び出しのステップ [#wfe75718]
**コンシューマの登録 [#td04a51a]
**APIを利用するためのクレデンシャルの取得 [#nbe585d8]
**API呼び出しの作成 [#i1390ad8]
*API攻撃 [#ddb52310]
-[[EC事業者を狙うAPI攻撃。知っておくべき危険性と対処法:ht...
**対策 [#z29b29c1]
-Webアプリ、モバイルアプリ、サードパーティパートナー、サ...
-APIコールのレートを制限する
-ログファイルにAPIコール用のバケットを作成、APIダッシュボ...
-機械学習を活用して悪質なAPIコールのパターンや行動を特定...
***WAF (Web Application FIrewall) [#c84ec9cd]
***WAAP (Web Application and API Protection) [#pd9d9be1]
-[[WAFがあるから大丈夫?~今求められる、WAAPとは~:https:...
-[[今、注目すべき次世代のWebセキュリティ対策「WAPP」とは...
終了行:
-[[OWASP (Open Web Application Security Project) Japan:ht...
-[[Open API Initiative:https://www.openapis.org/]]
--[[OAS (Open API Specification) Version 3.1.0:https://sp...
-[[APIセキュリティ入門(1):APIをエッジで制御する意味と...
-[[APIセキュリティ入門(2):APIの認証と認可をスケールす...
-[[APIセキュリティ入門(3):キャッシュの活用と過度なリク...
-[[APIセキュリティ入門(4):開発者が知るべきAPIセキュリ...
-[[APIセキュリティ入門(5):API開発者が知っておくべき、A...
-[[APIセキュリティ入門(6):API開発者が知っておくべき、A...
-[[APIテクニカルガイドブック:https://cio.go.jp/sites/defa...
-[[クレジットカードデータ利用に係るAPIガイドライン:https:...
-[[APIのセキュリティ対策をガートナーが解説、具体的に押さ...
-[[APIとは?仕組みや認証方法・セキュリティ面について:http...
-[[EC事業者を狙うAPI攻撃。知っておくべき危険性と対処法:ht...
-[[「銀行API公開」のセキュリティで金融機関、TPPs、ユーザ...
-[[Web APIの公開はセキュリティが不安…安全にAPIを公開する...
-[[APIのセキュリティ対策 ~Web APIを安全に公開するために...
-[[APIを安全に利用する4つのセキュリティ対策、具体的な実装...
-[[OAuth2.0 に対する脅威と対策:金融オープン API の一段の...
*設計ポイント [#de7072aa]
-攻撃対象領域を最小限に抑える
-本当に必要なものだけと公開・要求すべき
-コンシューマには、本当に必要なものを使うことだけを許可す...
-セキュリティを確保するには、アクセス制御にどのデータが必...
-APIの設計者は、APIの設計を完全にセキュアな状態に保つため...
**アプリケーションのアクセス制御 [#y3f83602]
**エンドユーザのアクセス制御 [#w5b739a4]
**センシティブな内容 [#t9dc1dd0]
***センシティブなデータへの対処 [#xfaab901]
-シーケンシャルなIDを返すことは止めた方が良い
--シーケンシャルなデータは他人のデータにアクセスを試みる...
***センシティブなゴールへの対処 [#q4fa4a86]
***セキュアなエラーフィードバック [#k8c256be]
-403 Forbidden
--データへのアクセス不許可 → データが存在することを暗に認...
--「404 Not Found」レスポンスに変えることも検討する
-500 Internal Server Error
--APIのベースとなっている技術スタックに関する詳細情報が提...
--APIの内部で実際に稼働しているものの手がかりになるような...
***ログ記録 [#ge9649b1]
-URLがログに記録される場合は、センシティブな情報が一切含...
*API呼び出しのステップ [#wfe75718]
**コンシューマの登録 [#td04a51a]
**APIを利用するためのクレデンシャルの取得 [#nbe585d8]
**API呼び出しの作成 [#i1390ad8]
*API攻撃 [#ddb52310]
-[[EC事業者を狙うAPI攻撃。知っておくべき危険性と対処法:ht...
**対策 [#z29b29c1]
-Webアプリ、モバイルアプリ、サードパーティパートナー、サ...
-APIコールのレートを制限する
-ログファイルにAPIコール用のバケットを作成、APIダッシュボ...
-機械学習を活用して悪質なAPIコールのパターンや行動を特定...
***WAF (Web Application FIrewall) [#c84ec9cd]
***WAAP (Web Application and API Protection) [#pd9d9be1]
-[[WAFがあるから大丈夫?~今求められる、WAAPとは~:https:...
-[[今、注目すべき次世代のWebセキュリティ対策「WAPP」とは...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
