Protección de APIs REST

Abstract

The purpose of this work is to analyze the security context in REST APIs, identify the main vulnerabilitys faced by this type of architecture and list some of the possible solutions to them. This analysis has been carried out through a proof of concept in which a REST API created for this purpose has been defined, codified and protected. For its protection, an API Management product, WSO2 API Manager, has been used, positioning itself as an intermediary for the accesses that the API provides. This product allows adding a security layer between the consumer and the producer of the API independent to them, so that it has been installed and configured to protect the API against practical examples of the main attacks of which this type of REST architecture is objective. For the construction of the REST API, technological standards such as OpenAPI 3.0 or Spring Boot have been used, while for the protection of the API, security mechanisms such as HTTPS and JWS have been used. For the authentication and authorization of access to the API, the OAuth standard has been used, applying all these options in a transversal way through the configuration of the API Manager. The conclusions obtained have been satisfactory, since it has been possible to undertake protection actions against the vulnerabilities identified as most important through the proposed solution.

La finalidad de este trabajo es analizar la seguridad en el contexto de las APIs REST, identificar las principales amenazas a las que se enfrenta este tipo de arquitecturas y enumerar algunas de las posibles soluciones ante las mismas. Este análisis se ha llevado a la práctica mediante una prueba de concepto en la que se ha definido, codificado y protegido un API REST creado al efecto. Para la protección del mismo se ha utilizado un producto de API Managment, WSO2 API Manager, situándose como intermediador de los accesos que el API proporciona. Este producto permite añadir una capa de seguridad entre el consumidor y el productor del API independiente a los mismos, de manera que se ha instalado y configurado para proteger el API frente a ejemplos prácticos de los principales ataques de los que este tipo de arquitecturas REST es objetivo. Para la construcción del API REST se han utilizado estándares tecnológicos como son OpenAPI 3.0 o Spring Boot, mientras que para la protección del API se han utilizado mecanismos de seguridad como HTTPS y JWS. Para la autentificación y la autorización de acceso al API se ha utilizado el estándar OAuth, aplicando todas estas opciones de manera transversal mediante la configuración del API Manager. Las conclusiones obtenidas han sido satisfactorias, ya que se han podido acometer mediante la solución propuesta acciones de protección frente a las vulnerabilidades identificadas como más importantes.

La finalitat d'aquest treball és analitzar la seguretat en el context de les APIs REST, identificar les principals amenaces a què s'enfronta aquest tipus de arquitectures i enumerar algunes de les possibles solucions davant les mateixes. Aquesta anàlisi s'ha portat a la pràctica mitjançant una prova de concepte en la que s'ha definit, codificat i protegit un API REST creat a l'efecte. per la protecció de la mateixa s'ha utilitzat un producte d'API Managment, WSO2 API Manager, situant-se com intermediador dels accessos que l'API proporciona. Aquest producte permet afegir una capa de seguretat entre el consumidor i el productor de l'API independent als mateixos, de manera que s'ha instal·lat i configurat per protegir l'API davant exemples pràctics dels principals atacs dels que aquest tipus d'arquitectures REST és objectiu. Per a la construcció de l'API REST s'han utilitzat estàndards tecnològics com són OpenAPI 3.0 o Spring Boot, mentre que per a la protecció de l'API s'han utilitzat mecanismes de seguretat com HTTPS i JWS. per a la autenticació i l'autorització d'accés a l'API s'ha utilitzat l'estàndard OAuth, aplicant totes aquestes opcions de manera transversal mitjançant la configuració de l'API Manager. Les conclusions obtingudes han estat satisfactòries, ja que s'han pogut escometre mitjançant la solució proposada accions de protecció enfront de les vulnerabilitats identificades com a més importants.