- Toda API deve ser autenticada. Isso permite identificar usuários maliciosos
→ se a autenticação completa não for possível, aplique limites rígidos ao tráfego anônimo/não autenticado
- Minimize a quantidade de dados retornada por uma única API
- Aplique rate limiting em todas as APIs
- Filtre o tráfego malicioso antes que ele chegue à aplicação
- Bloqueie URLs estranhas
- Bloqueie IPs maliciosos (mesmo que sejam IPs que gerem uma pequena quantidade de tráfego legítimo)
- Automatize a blocklist
- Tar pitting é uma ótima forma de desacelerar botnets e ataques baseados em volume
2 comentários
"Minimizar a quantidade de dados retornados por uma única API" é algo com que normalmente concordo e tento aplicar bem, mas a preguiça...
São coisas óbvias, mas que, no meio da correria, a gente acaba deixando passar com frequência. No fim, acho que os princípios são assim mesmo.