- Toutes les API doivent être authentifiées, afin de pouvoir identifier les utilisateurs malveillants
→ si une authentification complète est impossible, appliquer des limitations strictes au trafic anonyme / non authentifié
- Réduire au minimum la quantité de données renvoyées par une API unique
- Appliquer un rate limiting à toutes les API
- Filtrer le trafic malveillant avant qu’il n’atteigne l’application
- Bloquer les URL suspectes
- Bloquer les IP malveillantes (même si elles génèrent un faible volume de trafic légitime)
- Automatiser la blocklist
- Le tar pitting est une excellente méthode pour ralentir les botnets et les attaques volumétriques
2 commentaires
« Réduire au minimum la quantité de données renvoyées par une API unique » — c’est un point avec lequel je suis généralement d’accord et que j’essaie bien d’appliquer, mais la flemme…
Ce sont des évidences, mais on a aussi tendance à souvent les négliger quand on est débordé. Finalement, c’est sans doute ça, les principes.