ELEKTRON TİCARƏT PLATFORMALARININ API ARXİTEKTURASINDA BOLA ZƏİFLİYİNİN ANALİZİ VƏ QARŞISININ ALINMASI

Abstract

Müasir elektron ticarət platformaları daha çevik olmaq üçün API əsaslı mikroservis arxitekturalarına üstünlük verirlər. Lakin bu keçid özü ilə bərabər yeni təhlükəsizlik riskləri də gətirir. Ən kritik boşluqlardan biri istifadəçi məlumatlarının və ödəniş detallarının sızmasına səbəb olan BOLA (Obyekt Səviyyəsində Qüsurlu Avtorizasiya) zəifliyidir. Təəssüf ki, WAF kimi ənənəvi şəbəkə qoruyucu divarları kənardan tamamilə qanuni görünən bu növ dəyişdirilmiş API sorğularını aşkarlamaqda çox vaxt yetərsiz qalır. Təqdim olunan məqalədə BOLA zəifliyinin elektron ticarət mühitində necə işlədiyi və hücumçuların hansı yollardan istifadə etdiyi ətraflı təhlil olunur. Problemin həlli kimi isə sistem arxitekturasında təsadüfi identifikatorlara (UUID) keçid, obyekt səviyyəsində ciddi mülkiyyət yoxlamalarının (ownership checks) qurulması və API Şlüzü (API Gateway) əsaslı mərkəzləşdirilmiş avtorizasiya modeli təklif edilir. İrəli sürülən bu yanaşmalar onlayn mağazaların ümumi təhlükəsizlik sistemlərinin qurulması və daha da gücləndirilməsi baxımından mühüm əhəmiyyət daşıyır.