Kullanıcılarımızdan bazıları bize API'lerini takip edemeyeceklerini soyluyor. Bu uc noktaları korumaya bile başlamadan once, onları haritalandırmalı ve saldırı yuzey alanını anlamalıyız. Buna "API Keşfi" diyoruz.

Keşif sureci basitleştirmeyle başlar. Buyuk web sitelerinde binlerce API olabilir, ancak coğu cağrı benzer gorunur. Aşağıdaki iki yolu duşunun:

api.example.com/ login / 237 api.example.com/ login / 415 Bu ornekte, "237" ve "415" muşteri tanımlayıcılardır. Her iki yol da aynı amaca hizmet eder - kullanıcıların hesaplarına giriş yapmalarına izin verir - ancak aynı değildirler. Bu nedenle, yolların haritasını cıkarır ve bunları hemen aşağıdaki şekilde daraltırız :

api.example.com/ login / * api.example.com/ login / * Muşteri tanımlayıcılarını nasıl kaldırdığımıza dikkat edin. Sistemlerimiz bir API'nin değişen parcalarını algılayarak her iki yolu da aynı yol olarak tanımamıza olanak tanır. Bunu, her uc noktanın onemini kaydederek yapıyoruz. Orneğin, başlangıcta yıldız işareti yerine 700 farklı dizgenin gozlendiğini bulmuş olabiliriz. "237" ve "415" bu olasılıklardan sadece ikisiydi. Daha sonra bir eşik secmek icin denetimsiz oğrenmeyi kullandık (bu durumda 30 diyelim). Bu yolun 30'dan cok ceşidini fark ettiğimizden, muşteri tanımlayıcısını bir değişken olarak tanıyor ve yolu daraltıyoruz. Bu surece "yol normalleştirme" denir.

API Keşfi, gelecek bircok guvenlik urunu icin bir yapı taşıdır. Ancak ozunde, teknoloji basit, guvenilir bir API haritası oluşturmakla ilgilidir. İşte bulabileceklerinizin kucuk bir orneği:

Kod:
login/ auth account/ password_reset logout


Bu listenin binlerce olmasa da yuzlerce uc noktaya olceklendiğini hayal edin. Bazıları acık olacaktır (umarız giriş uc noktaları beklenir!), Ancak diğerleri surpriz olabilir. Nihai harita, her uc nokta tarafından referans verilen değişkenleri veya simgeleri tanımlamaya yardımcı olacaktır.