モバイル アプリの REST API をスニッフィングやなりすまし攻撃から保護するにはどうすればよいでしょうか?

モバイル アプリの API REST のセキュリティ保護

リクエストのスニッフィングにより API のシークレットへのアクセスが提供され、API が悪用されやすくなるのではないかと疑っています。 「鍵」を抜き出す。このため、モバイル環境で API を保護する機能に疑問を持つようになりました。

違いを理解する: 「何を」と「誰が」

API を検討する場合セキュリティを確保するには、「何が」「誰が」API にリクエストを行っているかを区別することが重要です。

• 内容: リクエストを行うデバイスまたはアプリケーションを指します。
• 誰: リクエストを開始した人間のユーザーを示します。

キーが傍受された場合、問題はなりすましにあります。 「what」は、通常、リクエストを行っているモバイル アプリの信頼性を検証するために使用されます。

モバイル アプリの強化とシールド

これらのシークレットが漏えいするのを防ぐため最初に侵害された場合は、モバイル アプリ自体を保護するソリューションの実装を検討してください:

• モバイルの強化とシールド: デバイスの侵害または改変、およびアプリ レベルでの不正アクセスから保護します。ただし、Frida などの高度なツールを使用すると回避できるため、これらの対策には限界があります。

API サーバーのセキュリティ保護

API サーバーの強化に重点を置いて強化します。攻撃を検出および軽減する機能:

• 基本的な API セキュリティ防御: HTTPS、API キー、IP アドレス チェックなどの対策を実装して、保護のベースラインを確立します。
• 高度な API セキュリティ防御: API キー、HMAC などの技術を採用します。 、OAUTH、および証明書のピン留めにより、その可能性を認識しながらセキュリティをさらに強化します
• 追加ツール: 悪用を検出し、標的型攻撃から保護するために、reCAPTCHA V3、Web アプリケーション ファイアウォール (WAF)、ユーザー行動分析 (UBA) などのツールの実装を検討してください。

潜在的な解決策: モバイル アプリAttestation

モバイル アプリに秘密が含まれる従来のアプローチでは、秘密が抽出される危険にさらされる可能性があります。より良いソリューションには、モバイル アプリ認証の実装が含まれます:

• コンセプト: 実行時にモバイル アプリとデバイスの整合性を検証するサービス。
• 利点: モバイル アプリからシークレットを削除できるため、API サーバーによる JWT トークンの検証が可能になり、信頼性と信頼性を確立できます。不正アクセスを防止します。

OWASP からの追加の洞察

以下に関する包括的なガイダンスについては、OWASP 財団のリソースを参照してください。

• モバイル アプリ セキュリティ: OWASP - モバイル セキュリティ テスト ガイド
• API セキュリティ: OWASP API セキュリティ トップ 10

以上がモバイル アプリの REST API をスニッフィングやなりすまし攻撃から保護するにはどうすればよいでしょうか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。