Günümüzün modern ön yüzlerinde sıkça karşılaşılan bir kalıp olan API anahtarlarının yerel depolamada saklanması, aslında saldırılara açık bir yüzey yaratmaktadır. Bu yazıda, neden riskli olduğuna, gerçek senaryolarda nasıl kötüye kullanılabileceğine ve geliştiricilerin ile hata avcılarının nelere dikkat etmesi gerektiğine değineceğiz.
Yerel Depolamanın Riskleri
Yerel depolamada saklanan her şey, herhangi bir sayfada çalışan komut tarafından okunabilir, oturumlar arasında kalıcıdır ve tarayıcı uzantılarına ile enjekte edilen komutlara maruz kalabilir. Bir saldırgan, XSS saldırısı ile bu anahtarı kolayca elde edebilir.
API Anahtarlarının Gücü
API anahtarları, sadece üçüncü taraf hizmetler için kullanılsa da, state değişikliklerine neden olan API'leri çağırabilir, kullanıcı ile ilgili verileri erişebilir ve iş akışlarını tetikleyebilir.
Tehdit Modellemesi
Saldırganın ön koşulları: Kurbanın tarayıcısında JavaScript çalıştırma yeteneği (XSS, kötü amaçlı uzantı, tedarik zinciri komutu).
Saldırganın yapabileceği şeyler: Yerel depolamayı oku → API anahtarını çıkar, üçüncü taraf API'ye istekleri tekrar gönder, onay veya gizlilik verilerini manipüle etmeye çalış (API izinlerine bağlı olarak).
Potansiyel sonuçlar: yetkisiz kullanıcı tercihlerinin değiştirilmesi, onay API'lerinin kötüye kullanılması, uyumluluk ve güven sorunları.
Nasıl Doğrulanır (Hata Avcıları İçin)
Hedef siteyi açın. Geliştirme Araçları → Uygulama sekmesi → Yerel Depolama.
Arayüzde apiKey, token, auth, clientKey gibi anahtarları arayın.
Kullanımını izleyin: Kaynaklar/Ağ sekmesinde anahtarın kullanıldığı yerleri arayınız.
İstekleri inceleyin: Yazma işlemleri var mı? Uygulama dışındaki endpointleri çağırabilir misiniz? Kapsamlar kısıtlanmış mı?
İpucu: Sadece 'anahtar bulundu' ile durmayın. Her zaman göstermeye çalışın: Anahtar ne yapabilir, tarayıcı bağlamının dışında kötüye kullanılabiliyor mu?
Geliştirici Rehberi
- Sırları Tarayıcıda Saklamayın: API anahtarlarını kimlik bilgileriniz gibi davranın. Clienside kullanılmak zorunda ise, kamu malı olduğunu varsayın.
- Arka uç Ara Sunucusu Kullanın: Hassas anahtarları sunucu tarafında tutun. Ön yüzünüz, üçüncü taraf API'ye çağrı yapan arka uçınıza çağırsın.
- Anahtarları Kısıtlamak ve Sınırlamak: İzinleri minimuma indirin. Destekleniyorsa, anahtarları belirli alan adlarına/IP'lere bağlayın. Oku ve yazma yeteneklerini ayırın.
- Dönüştürme ve İzleme: Maruz kalan anahtarları hemen dönüştürün. Kullanım modellerini anomaliler için izleyin.
- İstemciyi Güçlendirin: Kısıtlayıcı bir İçerik Güvenlik İlkesi (CSP) uygulayın. Üçüncü taraf komutlarına maruz kalma riskini azaltın. Tüm girişleri temizleyin ve doğrulayın, XSS riskini en aza indirin.
Geleceğe dönük olarak, geliştiricilerin ve hata avcılarının bu riskli kalıptan haberdar olması ve önlemler alması çok önemlidir.
Yapay zeka özeti
Storing API keys in localStorage exposes web apps to theft and abuse. Learn why this pattern is dangerous and how to secure your frontend without compromising functionality.
Etiketler
