web api Sicherheit

Web api oder Sicherheit? Daten Klau leicht gemacht! Bei einem recht Bekannten online Singlebörsen, lassen sich sämtliche Daten eines Users inklusive Profil Bild heraus ziehen und das ohne Angemeldet zu sein. Wie kann so etwas passieren? Ganz einfach der Entwickler hat schlicht und einfach vergessen zu überprüfen von wem der api request kommt. Dabei ist es so einfach! Beispiel PHP:

Hier muss einfach überprüft werden ob zum eine Session variable gesetzt ist.

 

<?php
session_start();

if{!empty($_SESSION['sessionVariable']) &&  $_SESSION['sessionVariable'] === true){

//do some api stuff

}else{
	echo "Zugriff verweigert";
}
?>

 

Wie man sieht nicht besonders schwierig.

Noch leichter geht es mit ASP.net

 

 

public class ApiRequest : ApiController 
    {
	 		[Authorize]
        	public returnTYP Get()
        	{
            //do some api stuff and retrun it
        	}
    }

 

 

Hier muss lediglich das [Authorize] Attribut gesetzt werden.

 

Doch wen es so einfach ist wie kann es dann sein das solche Fehler immer wieder auftauchen? Die Antwort darauf ist ganz einfach. Schlampige Programmierer und/oder schlechte Kommunikation innerhalb des Entwickler Teams .