Оценка рисков для эндпоинтов¶
ПроAPI Структура автоматически вычисляет оценку риска для каждого эндпоинта. Оценка риска позволяет вам понять, какие эндпоинты с наибольшей вероятностью станут целью атаки и, следовательно, должны быть в центре ваших усилий по обеспечению безопасности.
Факторы оценки риска¶
Оценка риска складывается из различных факторов, каждый из которых имеет свой вес при расчете окончательной оценки риска. По умолчанию в качестве оценки рисков используется наибольший вес из всех факторов.
| Фактор | Описание | Вес по умолчанию |
|---|---|---|
| Активные уязвимости | Активные уязвимости могут привести к несанкционированному доступу к данным или повреждению. | 9 |
| Потенциально уязвимые для BOLA | Наличие вариантивных элементов, таких как ID пользователей, например, /api/articles/author/{parameter_X}. Злоумышленники могут манипулировать идентификаторами объектов и, в случае недостаточной аутентификации запроса, либо считывать, либо изменять конфиденциальные данные объекта (атаки BOLA). | 6 |
| Параметры с конфиденциальными данными | Вместо прямой атаки на API злоумышленники могут украсть конфиденциальные данные и использовать их для доступа к вашим ресурсам. | 8 |
| Количество параметров запроса и тела | Большое количество параметров увеличивает количество направлений атаки. | 6 |
| Использование объектов XML / JSON | Объекты XML или JSON, передаваемые в запросах, могут использоваться злоумышленниками для передачи вредоносных внешних объектов XML и инъекций на сервер. | 6 |
| Возможность загрузки файлов на сервер | Эндпоинты часто становятся мишенью для атак с удаленным выполнением кода (RCE), при которых файлы с вредоносным кодом загружаются на сервер. Для обеспечения безопасности этих эндпоинтов загруженные расширения файлов и содержимое должны быть надлежащим образом проверены в соответствии с рекомендациями OWASP. | 6 |
Чтобы адаптировать оценку риска в соответствии с вашим пониманием важности факторов, вы можете настроить метод расчёта и вес каждого фактора для оценки риска.
Уровни оценки рисков¶
Оценка рисков может быть от 1 (наименьшей) to 10 (наибольшей):
| Значение | Уровень риска | Цвет |
|---|---|---|
| от 1 до 3 | Низкий | Серый |
| от 4 до 7 | Средний | Оранжевый |
| от 8 до 10 | Высокий | Красный |
-
1означает отсутствие факторов рисков для данного эндпоинта. -
Оценка риска не отображается (
N/A) для неиспользуемых эндпоинтов. -
Сортировать эндпоинты по оценке рисков можно в столбце Риск.
-
Фильтровать эндпоинты
Высокий,СреднийилиНизкийможно используя фильтр Уровень риска.
Вы также можете получить сводную информацию по оценке рисков на Дашборды → ПроAPI Структура.
Настройка расчета оценки риска¶
Вы можете настроить метод расчёта и вес каждого фактора для оценки риска.
Чтобы изменить способ расчета оценки риска:
-
Нажмите Настроить в разделе ПроAPI Структура.
-
Перейдите на вкладку Оценка рисков.
-
Выберите метод расчёта: наибольший или средний вес.
-
При необходимости отключите факторы, которые не должны влиять на оценку риска.
-
Установите веса для оставшихся.
- Сохраните изменения. Расчёт оценки рисков для ваших эндпоинтов в соответствии с новыми настройками будет произведён заново в течение нескольких минут.