Programmierer erobern Sicherheit OWASP Top 10 API-Serie — Mangel an Ressourcen und Ratenbegrenzung
Avec le manque de ressources et la limitation des taux, la vulnérabilité de l'API agit presque exactement comme elle est décrite dans le titre. Chaque API dispose de ressources et d'une puissance de calcul limitées en fonction de son environnement. La plupart d'entre elles doivent également répondre à des requêtes d'utilisateurs ou d'autres programmes qui leur demandent d'exécuter la fonction souhaitée. Cette vulnérabilité survient lorsque trop de demandes arrivent en même temps et que l'API ne dispose pas de suffisamment de ressources informatiques pour traiter ces demandes. L'API peut alors devenir indisponible ou ne plus répondre aux nouvelles demandes.
Les API sont vulnérables à ce problème si leurs limites de taux ou de ressources ne sont pas définies correctement, ou si les limites ne sont pas définies dans le code. Une API peut alors être surchargée si, par exemple, une entreprise connaît une période particulièrement chargée. Mais il s'agit également d'une vulnérabilité en matière de sécurité, car des acteurs menaçants peuvent délibérément surcharger les API non protégées de requêtes afin de mener des attaques par déni de service (DDoS).
Au fait, comment vous débrouillez-vous jusqu'à présent avec les défis gamifiés de l'API ? Si vous souhaitez tester vos compétences en matière de gestion d'une vulnérabilité limitant le débit, entrez dans l'arène :
Allons maintenant un peu plus loin.
Quels sont les exemples de manque de ressources et de taux qui limitent la vulnérabilité de l'API ?
Cette vulnérabilité peut se glisser dans une API de deux manières. La première est qu'un codeur ne définit tout simplement pas les taux d'étranglement d'une API. Il peut y avoir un paramètre par défaut pour les taux d'étranglement quelque part dans l'infrastructure, mais s'y fier n'est pas une bonne politique. Au contraire, les taux de chaque API doivent être définis individuellement. Cela est d'autant plus vrai que les API peuvent avoir des fonctions et des ressources disponibles très différentes.
Par exemple, une API interne conçue pour servir quelques utilisateurs seulement peut avoir un taux d'étranglement très bas et fonctionner parfaitement. En revanche, une API publique faisant partie d'un site de commerce électronique en direct nécessiterait très probablement un taux exceptionnellement élevé pour compenser l'éventualité d'une augmentation soudaine du nombre d'utilisateurs simultanés. Dans les deux cas, les taux d'étranglement doivent être définis en fonction des besoins prévus, du nombre d'utilisateurs potentiels et de la puissance de calcul disponible.
Il peut être tentant, en particulier avec les API qui seront très probablement très occupées, de définir les taux comme illimités afin d'essayer de maximiser les performances. Cela peut être réalisé avec un simple bout de code (à titre d'exemple, nous utiliserons le framework REST Python Django) :
"DEFAULT_THROTTLE_RATES: {
"anon: None,
"user: None
Dans cet exemple, les utilisateurs anonymes et ceux qui sont connus du système peuvent contacter l'API un nombre illimité de fois, sans tenir compte du nombre de demandes au fil du temps. C'est une mauvaise idée car, quelle que soit la quantité de ressources informatiques dont dispose une API, les attaquants peuvent déployer des éléments tels que des réseaux de zombies pour ralentir l'API, voire la mettre hors ligne. Dans ce cas, les utilisateurs valides se verront refuser l'accès et l'attaque sera couronnée de succès.
Élimination des problèmes de manque de ressources et de limitation du débit
Chaque API déployée par une organisation devrait avoir ses taux d'étranglement définis dans son code. Il peut s'agir de délais d'exécution, de la mémoire maximale autorisée, du nombre d'enregistrements par page pouvant être renvoyés à un utilisateur ou du nombre de processus autorisés dans un délai donné.
Dans l'exemple ci-dessus, au lieu de laisser les taux d'étranglement ouverts, ils pourraient être définis de manière stricte, avec des taux différents pour les utilisateurs anonymes et les utilisateurs connus.
"DEFAULT_THROTTLE_RATES: {
"anon: config("THROTTLE_ANON, default=200/hour),
"user: config("THROTTLE_USER, default=5000/hour)
Dans le nouvel exemple, l'API limiterait les utilisateurs anonymes à 200 demandes par heure. Les utilisateurs connus qui ont déjà été contrôlés par le système bénéficient d'une plus grande marge de manœuvre, avec 5 000 requêtes par heure. Mais même eux sont limités pour éviter une surcharge accidentelle aux heures de pointe ou pour compenser la compromission d'un compte d'utilisateur et son utilisation pour une attaque par déni de service.
Une dernière bonne pratique à prendre en compte est d'afficher une notification aux utilisateurs lorsqu'ils ont atteint les limites d'étranglement et d'expliquer quand ces limites seront réinitialisées. Ainsi, les utilisateurs valides sauront pourquoi une application rejette leurs demandes. Cela peut également s'avérer utile si des utilisateurs valides effectuant des tâches approuvées se voient refuser l'accès à une API, car cela peut signaler au personnel d'exploitation qu'il est nécessaire d'augmenter la limitation.
Consultez les pages du Secure Code Warrior pour en savoir plus sur cette vulnérabilité et sur la manière de protéger votre organisation et vos clients des ravages causés par d'autres failles de sécurité. Vous pouvez également essayer une démo de la plateforme de formation Secure Code Warrior pour maintenir vos compétences en cybersécurité à jour.
Diese Sicherheitsanfälligkeit tritt auf, wenn zu viele Anfragen gleichzeitig eingehen und die API nicht über genügend Rechenressourcen verfügt, um diese Anfragen zu bearbeiten. Die API kann dann nicht mehr verfügbar sein oder nicht mehr auf neue Anfragen reagieren.
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
Avec le manque de ressources et la limitation des taux, la vulnérabilité de l'API agit presque exactement comme elle est décrite dans le titre. Chaque API dispose de ressources et d'une puissance de calcul limitées en fonction de son environnement. La plupart d'entre elles doivent également répondre à des requêtes d'utilisateurs ou d'autres programmes qui leur demandent d'exécuter la fonction souhaitée. Cette vulnérabilité survient lorsque trop de demandes arrivent en même temps et que l'API ne dispose pas de suffisamment de ressources informatiques pour traiter ces demandes. L'API peut alors devenir indisponible ou ne plus répondre aux nouvelles demandes.
Les API sont vulnérables à ce problème si leurs limites de taux ou de ressources ne sont pas définies correctement, ou si les limites ne sont pas définies dans le code. Une API peut alors être surchargée si, par exemple, une entreprise connaît une période particulièrement chargée. Mais il s'agit également d'une vulnérabilité en matière de sécurité, car des acteurs menaçants peuvent délibérément surcharger les API non protégées de requêtes afin de mener des attaques par déni de service (DDoS).
Au fait, comment vous débrouillez-vous jusqu'à présent avec les défis gamifiés de l'API ? Si vous souhaitez tester vos compétences en matière de gestion d'une vulnérabilité limitant le débit, entrez dans l'arène :
Allons maintenant un peu plus loin.
Quels sont les exemples de manque de ressources et de taux qui limitent la vulnérabilité de l'API ?
Cette vulnérabilité peut se glisser dans une API de deux manières. La première est qu'un codeur ne définit tout simplement pas les taux d'étranglement d'une API. Il peut y avoir un paramètre par défaut pour les taux d'étranglement quelque part dans l'infrastructure, mais s'y fier n'est pas une bonne politique. Au contraire, les taux de chaque API doivent être définis individuellement. Cela est d'autant plus vrai que les API peuvent avoir des fonctions et des ressources disponibles très différentes.
Par exemple, une API interne conçue pour servir quelques utilisateurs seulement peut avoir un taux d'étranglement très bas et fonctionner parfaitement. En revanche, une API publique faisant partie d'un site de commerce électronique en direct nécessiterait très probablement un taux exceptionnellement élevé pour compenser l'éventualité d'une augmentation soudaine du nombre d'utilisateurs simultanés. Dans les deux cas, les taux d'étranglement doivent être définis en fonction des besoins prévus, du nombre d'utilisateurs potentiels et de la puissance de calcul disponible.
Il peut être tentant, en particulier avec les API qui seront très probablement très occupées, de définir les taux comme illimités afin d'essayer de maximiser les performances. Cela peut être réalisé avec un simple bout de code (à titre d'exemple, nous utiliserons le framework REST Python Django) :
"DEFAULT_THROTTLE_RATES: {
"anon: None,
"user: None
Dans cet exemple, les utilisateurs anonymes et ceux qui sont connus du système peuvent contacter l'API un nombre illimité de fois, sans tenir compte du nombre de demandes au fil du temps. C'est une mauvaise idée car, quelle que soit la quantité de ressources informatiques dont dispose une API, les attaquants peuvent déployer des éléments tels que des réseaux de zombies pour ralentir l'API, voire la mettre hors ligne. Dans ce cas, les utilisateurs valides se verront refuser l'accès et l'attaque sera couronnée de succès.
Élimination des problèmes de manque de ressources et de limitation du débit
Chaque API déployée par une organisation devrait avoir ses taux d'étranglement définis dans son code. Il peut s'agir de délais d'exécution, de la mémoire maximale autorisée, du nombre d'enregistrements par page pouvant être renvoyés à un utilisateur ou du nombre de processus autorisés dans un délai donné.
Dans l'exemple ci-dessus, au lieu de laisser les taux d'étranglement ouverts, ils pourraient être définis de manière stricte, avec des taux différents pour les utilisateurs anonymes et les utilisateurs connus.
"DEFAULT_THROTTLE_RATES: {
"anon: config("THROTTLE_ANON, default=200/hour),
"user: config("THROTTLE_USER, default=5000/hour)
Dans le nouvel exemple, l'API limiterait les utilisateurs anonymes à 200 demandes par heure. Les utilisateurs connus qui ont déjà été contrôlés par le système bénéficient d'une plus grande marge de manœuvre, avec 5 000 requêtes par heure. Mais même eux sont limités pour éviter une surcharge accidentelle aux heures de pointe ou pour compenser la compromission d'un compte d'utilisateur et son utilisation pour une attaque par déni de service.
Une dernière bonne pratique à prendre en compte est d'afficher une notification aux utilisateurs lorsqu'ils ont atteint les limites d'étranglement et d'expliquer quand ces limites seront réinitialisées. Ainsi, les utilisateurs valides sauront pourquoi une application rejette leurs demandes. Cela peut également s'avérer utile si des utilisateurs valides effectuant des tâches approuvées se voient refuser l'accès à une API, car cela peut signaler au personnel d'exploitation qu'il est nécessaire d'augmenter la limitation.
Consultez les pages du Secure Code Warrior pour en savoir plus sur cette vulnérabilité et sur la manière de protéger votre organisation et vos clients des ravages causés par d'autres failles de sécurité. Vous pouvez également essayer une démo de la plateforme de formation Secure Code Warrior pour maintenir vos compétences en cybersécurité à jour.
Avec le manque de ressources et la limitation des taux, la vulnérabilité de l'API agit presque exactement comme elle est décrite dans le titre. Chaque API dispose de ressources et d'une puissance de calcul limitées en fonction de son environnement. La plupart d'entre elles doivent également répondre à des requêtes d'utilisateurs ou d'autres programmes qui leur demandent d'exécuter la fonction souhaitée. Cette vulnérabilité survient lorsque trop de demandes arrivent en même temps et que l'API ne dispose pas de suffisamment de ressources informatiques pour traiter ces demandes. L'API peut alors devenir indisponible ou ne plus répondre aux nouvelles demandes.
Les API sont vulnérables à ce problème si leurs limites de taux ou de ressources ne sont pas définies correctement, ou si les limites ne sont pas définies dans le code. Une API peut alors être surchargée si, par exemple, une entreprise connaît une période particulièrement chargée. Mais il s'agit également d'une vulnérabilité en matière de sécurité, car des acteurs menaçants peuvent délibérément surcharger les API non protégées de requêtes afin de mener des attaques par déni de service (DDoS).
Au fait, comment vous débrouillez-vous jusqu'à présent avec les défis gamifiés de l'API ? Si vous souhaitez tester vos compétences en matière de gestion d'une vulnérabilité limitant le débit, entrez dans l'arène :
Allons maintenant un peu plus loin.
Quels sont les exemples de manque de ressources et de taux qui limitent la vulnérabilité de l'API ?
Cette vulnérabilité peut se glisser dans une API de deux manières. La première est qu'un codeur ne définit tout simplement pas les taux d'étranglement d'une API. Il peut y avoir un paramètre par défaut pour les taux d'étranglement quelque part dans l'infrastructure, mais s'y fier n'est pas une bonne politique. Au contraire, les taux de chaque API doivent être définis individuellement. Cela est d'autant plus vrai que les API peuvent avoir des fonctions et des ressources disponibles très différentes.
Par exemple, une API interne conçue pour servir quelques utilisateurs seulement peut avoir un taux d'étranglement très bas et fonctionner parfaitement. En revanche, une API publique faisant partie d'un site de commerce électronique en direct nécessiterait très probablement un taux exceptionnellement élevé pour compenser l'éventualité d'une augmentation soudaine du nombre d'utilisateurs simultanés. Dans les deux cas, les taux d'étranglement doivent être définis en fonction des besoins prévus, du nombre d'utilisateurs potentiels et de la puissance de calcul disponible.
Il peut être tentant, en particulier avec les API qui seront très probablement très occupées, de définir les taux comme illimités afin d'essayer de maximiser les performances. Cela peut être réalisé avec un simple bout de code (à titre d'exemple, nous utiliserons le framework REST Python Django) :
"DEFAULT_THROTTLE_RATES: {
"anon: None,
"user: None
Dans cet exemple, les utilisateurs anonymes et ceux qui sont connus du système peuvent contacter l'API un nombre illimité de fois, sans tenir compte du nombre de demandes au fil du temps. C'est une mauvaise idée car, quelle que soit la quantité de ressources informatiques dont dispose une API, les attaquants peuvent déployer des éléments tels que des réseaux de zombies pour ralentir l'API, voire la mettre hors ligne. Dans ce cas, les utilisateurs valides se verront refuser l'accès et l'attaque sera couronnée de succès.
Élimination des problèmes de manque de ressources et de limitation du débit
Chaque API déployée par une organisation devrait avoir ses taux d'étranglement définis dans son code. Il peut s'agir de délais d'exécution, de la mémoire maximale autorisée, du nombre d'enregistrements par page pouvant être renvoyés à un utilisateur ou du nombre de processus autorisés dans un délai donné.
Dans l'exemple ci-dessus, au lieu de laisser les taux d'étranglement ouverts, ils pourraient être définis de manière stricte, avec des taux différents pour les utilisateurs anonymes et les utilisateurs connus.
"DEFAULT_THROTTLE_RATES: {
"anon: config("THROTTLE_ANON, default=200/hour),
"user: config("THROTTLE_USER, default=5000/hour)
Dans le nouvel exemple, l'API limiterait les utilisateurs anonymes à 200 demandes par heure. Les utilisateurs connus qui ont déjà été contrôlés par le système bénéficient d'une plus grande marge de manœuvre, avec 5 000 requêtes par heure. Mais même eux sont limités pour éviter une surcharge accidentelle aux heures de pointe ou pour compenser la compromission d'un compte d'utilisateur et son utilisation pour une attaque par déni de service.
Une dernière bonne pratique à prendre en compte est d'afficher une notification aux utilisateurs lorsqu'ils ont atteint les limites d'étranglement et d'expliquer quand ces limites seront réinitialisées. Ainsi, les utilisateurs valides sauront pourquoi une application rejette leurs demandes. Cela peut également s'avérer utile si des utilisateurs valides effectuant des tâches approuvées se voient refuser l'accès à une API, car cela peut signaler au personnel d'exploitation qu'il est nécessaire d'augmenter la limitation.
Consultez les pages du Secure Code Warrior pour en savoir plus sur cette vulnérabilité et sur la manière de protéger votre organisation et vos clients des ravages causés par d'autres failles de sécurité. Vous pouvez également essayer une démo de la plateforme de formation Secure Code Warrior pour maintenir vos compétences en cybersécurité à jour.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
Avec le manque de ressources et la limitation des taux, la vulnérabilité de l'API agit presque exactement comme elle est décrite dans le titre. Chaque API dispose de ressources et d'une puissance de calcul limitées en fonction de son environnement. La plupart d'entre elles doivent également répondre à des requêtes d'utilisateurs ou d'autres programmes qui leur demandent d'exécuter la fonction souhaitée. Cette vulnérabilité survient lorsque trop de demandes arrivent en même temps et que l'API ne dispose pas de suffisamment de ressources informatiques pour traiter ces demandes. L'API peut alors devenir indisponible ou ne plus répondre aux nouvelles demandes.
Les API sont vulnérables à ce problème si leurs limites de taux ou de ressources ne sont pas définies correctement, ou si les limites ne sont pas définies dans le code. Une API peut alors être surchargée si, par exemple, une entreprise connaît une période particulièrement chargée. Mais il s'agit également d'une vulnérabilité en matière de sécurité, car des acteurs menaçants peuvent délibérément surcharger les API non protégées de requêtes afin de mener des attaques par déni de service (DDoS).
Au fait, comment vous débrouillez-vous jusqu'à présent avec les défis gamifiés de l'API ? Si vous souhaitez tester vos compétences en matière de gestion d'une vulnérabilité limitant le débit, entrez dans l'arène :
Allons maintenant un peu plus loin.
Quels sont les exemples de manque de ressources et de taux qui limitent la vulnérabilité de l'API ?
Cette vulnérabilité peut se glisser dans une API de deux manières. La première est qu'un codeur ne définit tout simplement pas les taux d'étranglement d'une API. Il peut y avoir un paramètre par défaut pour les taux d'étranglement quelque part dans l'infrastructure, mais s'y fier n'est pas une bonne politique. Au contraire, les taux de chaque API doivent être définis individuellement. Cela est d'autant plus vrai que les API peuvent avoir des fonctions et des ressources disponibles très différentes.
Par exemple, une API interne conçue pour servir quelques utilisateurs seulement peut avoir un taux d'étranglement très bas et fonctionner parfaitement. En revanche, une API publique faisant partie d'un site de commerce électronique en direct nécessiterait très probablement un taux exceptionnellement élevé pour compenser l'éventualité d'une augmentation soudaine du nombre d'utilisateurs simultanés. Dans les deux cas, les taux d'étranglement doivent être définis en fonction des besoins prévus, du nombre d'utilisateurs potentiels et de la puissance de calcul disponible.
Il peut être tentant, en particulier avec les API qui seront très probablement très occupées, de définir les taux comme illimités afin d'essayer de maximiser les performances. Cela peut être réalisé avec un simple bout de code (à titre d'exemple, nous utiliserons le framework REST Python Django) :
"DEFAULT_THROTTLE_RATES: {
"anon: None,
"user: None
Dans cet exemple, les utilisateurs anonymes et ceux qui sont connus du système peuvent contacter l'API un nombre illimité de fois, sans tenir compte du nombre de demandes au fil du temps. C'est une mauvaise idée car, quelle que soit la quantité de ressources informatiques dont dispose une API, les attaquants peuvent déployer des éléments tels que des réseaux de zombies pour ralentir l'API, voire la mettre hors ligne. Dans ce cas, les utilisateurs valides se verront refuser l'accès et l'attaque sera couronnée de succès.
Élimination des problèmes de manque de ressources et de limitation du débit
Chaque API déployée par une organisation devrait avoir ses taux d'étranglement définis dans son code. Il peut s'agir de délais d'exécution, de la mémoire maximale autorisée, du nombre d'enregistrements par page pouvant être renvoyés à un utilisateur ou du nombre de processus autorisés dans un délai donné.
Dans l'exemple ci-dessus, au lieu de laisser les taux d'étranglement ouverts, ils pourraient être définis de manière stricte, avec des taux différents pour les utilisateurs anonymes et les utilisateurs connus.
"DEFAULT_THROTTLE_RATES: {
"anon: config("THROTTLE_ANON, default=200/hour),
"user: config("THROTTLE_USER, default=5000/hour)
Dans le nouvel exemple, l'API limiterait les utilisateurs anonymes à 200 demandes par heure. Les utilisateurs connus qui ont déjà été contrôlés par le système bénéficient d'une plus grande marge de manœuvre, avec 5 000 requêtes par heure. Mais même eux sont limités pour éviter une surcharge accidentelle aux heures de pointe ou pour compenser la compromission d'un compte d'utilisateur et son utilisation pour une attaque par déni de service.
Une dernière bonne pratique à prendre en compte est d'afficher une notification aux utilisateurs lorsqu'ils ont atteint les limites d'étranglement et d'expliquer quand ces limites seront réinitialisées. Ainsi, les utilisateurs valides sauront pourquoi une application rejette leurs demandes. Cela peut également s'avérer utile si des utilisateurs valides effectuant des tâches approuvées se voient refuser l'accès à une API, car cela peut signaler au personnel d'exploitation qu'il est nécessaire d'augmenter la limitation.
Consultez les pages du Secure Code Warrior pour en savoir plus sur cette vulnérabilité et sur la manière de protéger votre organisation et vos clients des ravages causés par d'autres failles de sécurité. Vous pouvez également essayer une démo de la plateforme de formation Secure Code Warrior pour maintenir vos compétences en cybersécurité à jour.
Table des matières
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
La puissance de la sécurité des applications OpenText + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.