- بواسطة x32x01 ||
خلي بالك: API Key جوه التطبيق = كارثة أمنيةفي نصيحة مهمة جدًا لازم توصل لكل المبرمجين، وبالذات مطوري تطبيقات الموبايل
من أكبر الأخطاء اللي بنشوفها كتير إنك تحط API Key جوه التطبيق وتبقى فاكر إنك كده في الأمان… وده للأسف تفكير غلط
أي شخص يقدر يفك التطبيق أو يراقب API Requests بسهولة، وساعتها البيانات الحساسة بتبقى مكشوفة على طبق من دهب.
مشكلة WooCommerce مع تطبيقات الموبايل
كتير من الناس اللي شغالة على متاجر إلكترونية باستخدام WordPress و WooCommerce لما ييجوا يعملوا تطبيق موبايل، بيروحوا للحل السريع:- استخدام WooCommerce REST API
- توليد:
- Consumer Key
- Consumer Secret
إن المفاتيح دي غالبًا بتتولد بصلاحيات خطيرة زي:
- Administrator
- Shop Manager
إزاي الـ API Key بيتسرب؟
في فحص بسيط لأي تطبيق موبايل، ممكن تراقب طلبات الـ API وتطلع المفاتيح بكل سهولة.مثال توضيحي بسيط
: Code:
GET /wp-json/wc/v3/orders
Authorization: Basic Y29uc3VtZXJfa2V5OmNvbnN1bWVyX3NlY3JldA==
لو البيانات دي موجودة جوه التطبيق:- تقدر تشوف الطلبات
- تعدل المنتجات
- تتحكم في العملاء
- تمسح المتجر كله لو حابب
الكارثة الحقيقية اللي بتحصل
الغريب إن في مبرمجين كتير فاكرين إن: "الـ API جوه التطبيق ومحدش يقدر يوصل له"وده كلام غير صحيح نهائيًا
اتشاف أخطاء بالشكل ده في تطبيقات كتير، والمشكلة دايمًا واحدة:
- مفيش Backend Layer
- مفيش Token Management
- مفيش صلاحيات محدودة
الحل الصح لحماية الـ API
لو انت مبرمج أو صاحب تطبيق، الحلول دي لازم تتحط في الاعتبار - متحطش API Keys جوه التطبيق
استخدم Backend Server كوسيط- اعمل Authentication Tokens بصلاحيات محدودة
- فعل Rate Limiting
- راقب الـ API Logs باستمرار
- قسم الصلاحيات (مش كل حاجة Admin)
رسالة للمبرمجين وأصحاب التطبيقات
لو انت مبرمج موبايل أو ديسكتوب:- الموضوع ده لازم يبقى في دماغك دايمًا
- قول للمبرمج بتاعك بكل بساطة:
"ما تخليش الـ API بتاعنا على الشارع"
وهو هيفهم كويس جدًا
البوست ده هدفه التوعية فقط، عشان نقلل الكوارث الأمنية اللي بتحصل بسبب إهمال بسيط.