Authentification API faible dans Symfony: comment le réparer

DEV - 10/08

Si votre API Symfony est orientée vers le public, la faible authentification est votre risque n ° 1. Dans ce guide, je vais montrer ...

Si votre API Symfony est orientée vers le public, la faible authentification est votre risque n ° 1. Dans ce guide, je vais montrer des correctifs pratiques et copies-coller pour JWT, les clés d'API, la limitation des taux et les défauts de défaut sécurisés - plus comment vérifier rapidement votre site avec un scanner de vulnérabilité de site Web en ligne.

Pourquoi la «faible authentification» se produit dans Symfony

Pièges communs que je vois dans les audits:

Autorisation accidentellePublic_accesssur/ api / *
Jetons à longue durée de vie (pas de rotation, pas de rafraîchissement)
IP / Prise de commande manquante
Traiter les clés d'API comme les mots de passe (pas de portée / expiration / rotation)
Les secrets qui fuient via des messages d'erreur verbeux ou des barres d'outils de débogage

Gagnez rapide: exécutez votre site via notre scanner de sécurité de site Web gratuit pour basculer votre posture et trouver des fruits à faible maintien. Pour des plongées plus profondes, je publie également sur notre blog: Pentest Testing Corp →.

Le «mauvais» (quoi éviter)

# config / packages / Security.yaml # ❌ Exemple d'API faible Auth: Tout sous / API est effectivement la sécurité publique: activer_authenticator_manager: vrai parent: Dev: Pattern: ^ / (?: _ Profiler | _wdt | Bundles | CSS | Images | js) / Security: FALSE API: Modèle: ^ / api Statless: True # manquante # Missing Any Authroger Access_Control: - {Path: ^ / API, Rôles: public_access} # ← Cela rend votre API non authentifiéeEntrez le mode de sortie en mode plein écran

Le «bon» (défaut sécurisés avec JWT)

1) Installer et générer des clés

Le compositeur a besoin de Lexik / JWT-Authentication-Bundle PHP Bin / Console Lexik: JWT: Generate-KeypairEntrez le mode de sortie en mode plein écran

2) Configurer JWT

# config / packages / lexik_jwt_authentication.yaml lexik_jwt_authentication: secret_key: '% kernel.project_dir% / config / jwt / private.pem' public_key: '% kernel.project_dir% / config / jwt / public.pem' pass_phrase: '% env (jwt_passphras) token_ttl: 3600 # 1 heure d'accès jetons token_extractors: Authorization_header: activé: vrai préfixe: nom du porteur: autorisationEntrez le mode de sortie en mode plein écran

3) durcir`Sécurité.yaml`

# config / packages / Security.yaml Security: activy_authenticator_manager: true password_hashers: symfony \ composant \ security \ core \ user \ ... 
[Courte citation de 8% de l'article original]

Tags : Cybersécurité - vulnérabilités - symfony - webdev - logiciel - codage - développement - ingénierie - inclusive - communauté -

Article automatiquement traduit - Source et Copyright images et textes : - DEV
Lien vers la traduction, consulter la traduction de l'article sur Google Translate : https://translate.google.com/translate?hl=en&sl=auto&tl=fr&u=https://dev.to/pentest_testing_corp/weak-api-authentication-in-symfony-how-to-fix-it-2600
Lien original, consulter l'article dans son intégralité ici : https://dev.to/pentest_testing_corp/weak-api-authentication-in-symfony-how-to-fix-it-2600
Lien direct sur notre site : http://newsexplorer.fr/article/28125384/Authentification-API-faible-dans-Symfony--comment-le-r%C3%A9parer
Partager : Facebook - Twitter

Avis de non-responsabilité pour les articles et les traductions :
Les articles publiés sur ce site ont été rédigés par des auteurs externes et ne représentent pas l'avis ou les opinions de ce site. Les informations contenues dans ces articles sont fournies à titre indicatif et ne doivent pas être considérées comme des conseils professionnels ou juridiques.
De plus, les traductions proposées sur ce site peuvent ne pas être exactes ou complètes. Nous ne pouvons garantir l'exactitude, la fiabilité ou la pertinence de ces traductions et nous déclinons toute responsabilité pour toute perte ou préjudice causé par leur utilisation.
Nous recommandons à nos lecteurs de vérifier toutes les informations avant de prendre des décisions ou d'entreprendre des actions en se basant sur ces articles ou traductions. Nous ne serons pas tenus responsables des erreurs ou des omissions dans les informations fournies sur ce site.