Перейти к содержанию

Оценка рисков для эндпоинтов

Структура API автоматически вычисляет оценку риска для каждого эндпоинта. Оценка риска позволяет вам понять, какие эндпоинты с наибольшей вероятностью станут целью атаки и, следовательно, должны быть в центре ваших усилий по обеспечению безопасности.

Факторы оценки риска

Оценка риска складывается из различных факторов, каждый из которых имеет свой вес при расчете окончательной оценки риска. По умолчанию в качестве оценки рисков используется наибольший вес из всех факторов.

Фактор Описание Вес по умолчанию
Активные уязвимости Активные уязвимости могут привести к несанкционированному доступу к данным или повреждению. 9
Потенциально уязвимые для BOLA Наличие вариантивных элементов, таких как ID пользователей, например, /api/articles/author/{parameter_X}. Злоумышленники могут манипулировать идентификаторами объектов и, в случае недостаточной аутентификации запроса, либо считывать, либо изменять конфиденциальные данные объекта (атаки BOLA). 6
Параметры с конфиденциальными данными Вместо прямой атаки на API злоумышленники могут украсть конфиденциальные данные и использовать их для доступа к вашим ресурсам. 8
Количество параметров запроса и тела Большое количество параметров увеличивает количество направлений атаки. 6
Использование объектов XML / JSON Объекты XML или JSON, передаваемые в запросах, могут использоваться злоумышленниками для передачи вредоносных внешних объектов XML и инъекций на сервер. 6
Возможность загрузки файлов на сервер Эндпоинты часто становятся мишенью для атак с удаленным выполнением кода (RCE), при которых файлы с вредоносным кодом загружаются на сервер. Для обеспечения безопасности этих эндпоинтов загруженные расширения файлов и содержимое должны быть надлежащим образом проверены в соответствии с рекомендациями OWASP. 6

Чтобы адаптировать оценку риска в соответствии с вашим пониманием важности факторов, вы можете настроить метод расчёта и вес каждого фактора для оценки риска.

Уровни оценки рисков

Оценка рисков может быть от 1 (наименьшей) to 10 (наибольшей):

Значение Уровень риска Цвет
от 1 до 3 Низкий Серый
от 4 до 7 Средний Оранжевый
от 8 до 10 Высокий Красный
  • 1 означает отсутствие факторов рисков для данного эндпоинта.

  • Оценка риска не отображается (N/A) для неиспользуемых эндпоинтов.

  • Сортировать эндпоинты по оценке рисков можно в столбце Риск.

  • Фильтровать эндпоинты Высокий, Средний или Низкий можно используя фильтр Уровень риска.

Вы также можете получить сводную информацию по оценке рисков на ДашбордыСтруктура API.

Настройка расчета оценки риска

Вы можете настроить метод расчёта и вес каждого фактора для оценки риска.

Чтобы изменить способ расчета оценки риска:

  1. Нажмите Настроить в разделе Структура API.

  2. Перейдите на вкладку Оценка рисков.

  3. Выберите метод расчёта: наибольший или средний вес.

  4. При необходимости отключите факторы, которые не должны влиять на оценку риска.

  5. Установите веса для оставшихся.

  1. Сохраните изменения. Расчёт оценки рисков для ваших эндпоинтов в соответствии с новыми настройками будет произведён заново в течение нескольких минут.