- Tüm API’ler kimlik doğrulamalı olmalı. Kötü niyetli kullanıcılar tespit edilebilir
→ Tam kimlik doğrulama mümkün değilse, anonim/kimliği doğrulanmamış trafik için güçlü kısıtlamalar uygulanmalı
- Tek bir API’nin döndürdüğü veri miktarı en aza indirilmeli
- Tüm API’lere rate limit uygulanmalı
- Kötü niyetli trafik uygulamaya ulaşmadan önce filtrelenmeli
- Garip URL’ler engellenmeli
- Kötü niyetli IP’ler engellenmeli (az miktarda meşru trafik üreten IP’ler olsa bile)
- Engelleme listeleri otomatikleştirilmeli
- Tar Pitting, botnet’leri ve hacim tabanlı saldırıları yavaşlatmanın harika bir yolu
2 yorum
"Tek bir API'nin döndürdüğü veri miktarını en aza indirmek" normalde de katıldığım ve iyi uygulamaya çalıştığım bir nokta ama üşengeçlik işte..
Bunlar çok bariz şeyler ama yoğunluk içinde sık sık gözden kaçan şeyler de galiba. Sanırım ilkeler denen şey tam da böyle bir şey.