- Semua API harus diautentikasi. Ini memungkinkan identifikasi pengguna berbahaya
→ Jika autentikasi menyeluruh tidak memungkinkan, terapkan pembatasan yang ketat untuk trafik anonim/tidak diautentikasi
- Minimalkan jumlah data yang dikembalikan oleh satu API
- Terapkan rate limit pada semua API
- Filter trafik berbahaya sebelum mencapai aplikasi
- Blokir URL yang aneh
- Blokir IP berbahaya (meskipun dari IP tersebut ada sedikit trafik yang sah)
- Otomatiskan blocklist
- Tar Pitting adalah cara yang sangat baik untuk memperlambat botnet dan serangan berbasis volume
2 komentar
"Minimalkan jumlah data yang dikembalikan oleh satu API" Ini bagian yang biasanya juga saya setujui dan ingin terapkan dengan baik, tapi rasa malas...
Hal-hal yang sebenarnya sudah jelas, tetapi di tengah kesibukan sering kali terlewat begitu saja. Sepertinya memang begitulah prinsip itu.