Ce que c’est…
https://app.pluralsight.com/library/courses/designing-restful-web-apis/table-of-contents
https://dzone.com/articles/top-10-api-security-threats-every-api-team-should
Attaques
- https://www.lemondeinformatique.fr/actualites/lire-les-api-cible-des-tentatives-d-authentification-dans-les-services-financiers-78174.html
- https://threatpost.com/akamai-on-credential-stuffing-attacks/153654/
Selon l’OWASP (et JDN)
- Vérifier les autorisations au niveau de chaque objet
- Soigner l’authentification utilisateur
- Sélectionner les données à afficher
- Limiter les ressources et le débit
- Modérer la granularité des accès
- Eviter les affectations de masse
- Vérifier la configuration de la sécurité
- Anticiper les injections de code
- Bien gérer et inventorier ses actifs
- Mettre en place une gestion des logs efficace
Ressources
- https://auth0.com/blog/securing-aws-http-apis-with-jwt-authorizers/
- 10 points de contrôle pour vérifier la sécurité de ses API (journaldunet.com)
A voir : problématiques de sécurisation d’API OIDC, OAuth2
- https://api-by-octo.octo.com/
- https://blog.octo.com/designer-une-api-rest/
- https://www.octo.com/publications/29-api-security-principles/
- https://www.securityweek.com/grammatech-releases-open-source-api-security-tool
- Rapid API Creation with AWS Amplify
- https://dzone.com/articles/api-authentication-methods-an-overview
- https://developer.okta.com/blog/2020/12/17/build-and-secure-an-api-in-python-with-fastapi