加密赌场
Torrent Gear
赌场如何监控API查询的安全性
为什么iGaming中的API安全性至关重要
API是赌场的神经系统:投注,钱包,结账,游戏提供商,KYC/KYT,遥测。任何漏洞=金钱,PII,许可证,声誉。与传统的电子商务不同,赌场具有以下特征:现实生活中的金钱,监管性,高攻击动机和复杂的集成矩阵。
建筑原理(保护的"骨架")
1.Zero-Trust & Least Privilege.我们不信任网络或客户。每个呼叫都经过验证,访问量最少(RBAC/ABAC)。
2.域分离。金钱/PII/售票处/游戏网关是不同的周边和网络,不同的键和策略。
3.单个API网关。点:mTLS,WAF/机器人管理,OAuth2/JWT,比例限制,威胁输入,拼写。
4.默认可观察性。Tracing,"traceId"相关性,Alerta对异常(SLO/SIEM)。
5.安全违约。短的TTL令牌,禁止"广泛"CORS,NetworkPolicy中的deny-by-default。
身份验证和授权
服务间呼叫:mTLS+短寿命的JWT(5-10分钟),带有"aud/iss/kid"和钥匙旋转;可选的HMAC签名。
通话完整性: 签名、时间、等效性
HMAC签名请求的规范表示: 参数排序,稳定的JSON序列化(无额外空格,密钥顺序相同),标题:
X-Request-Timestamp: 2025-10-17T14:22:05Z
X-Request-Nonce: 8c1c...fa
X-Request-Signature: v1=HMAC-SHA256:base64(…)
X-Idempotency-Key: c0a4-77f…复制保护:有效的时间窗口(± 300秒),检查缓存中的"nonce"。
Idempotency-Key for money/webhook:重播请求不会创建第二个借记/贷款。
mTLS到钱包/收银员/提供商:加密运输+双方相互验证。
受保护的POST示例:
POST /wallet/debit
Content-Type: application/json
X-Request-Timestamp: 2025-10-17T14:22:05Z
X-Request-Nonce: 8c1c0cfa
X-Idempotency-Key: 9a7f-2b1c
X-Request-Signature: v1=HMAC-SHA256:Z2V…==
{
"playerId":"p_123", "amount":"10.00", "currency":"EUR", "reason":"bet.place", "roundId":"R-2025-10-17-PRAGM-12"
}入口验证: 计划与规范化
JSON Schema/OpenAPI作为合同。任何字符串-通过类型,范围和白人主义者的验证(货币/国家/地区的ISO代码,状态的enum)。
尺寸限制:限制主体和阵列大小,禁止"深层"嵌套。
标题/标记之前的JSON规范化,特殊字符屏蔽,严格的"内容类型"。
批量分配锁定(mass assignment): 显式allow-lists字段。
表面保护: WAF、机器人、速度
WAF/机器人管理:签名和行为识别(rate,geo,device-fingerprint)。
利率限制/quotas:通过IP/令牌/客户端/方法;单独限制金钱和非金钱。
DoS/abuse控制:电路断路器,计时器,后压,"灰色列表"。
CORS:无需在浏览器中点点"访问控制-Allow-Origin",通配符禁令和"授权"。
OWASP API Top-10 →具体措施
BOLA/BFLA (Broken Object/Function Level Auth):ABAC按资源所有者、过滤器"playerId"、禁止"其他"ID。
Injection/SSRF:参数化查询,禁止服务器调用中的外部URL, allowlist主机。
Excessive Data Exposure:响应着色器(现场面具)、分页、错误归一化而不泄露部件。
安全性差异化:TLS/密码版本统一,CSP/Permissions-Policy/Referrer-Policy标题。
Unsafe Consumption of API:捆绑在具有计时器、转发器、重复数据消除功能的API提供商上。
PII和隐私
PII令牌化和加密(玩家属性,KYC文档):KMS/HSM,字段为AES-GCM。
数据最小化:在事件/逻辑中,只有别名("playerId"),永远是文档/卡号。
Retention:根据司法管辖区的要求,域名的TTL不同(钱包/游戏/票房)。
按角色访问:在DB和服务(row-level security/policy)级别上划分PII读取。
安全webhooks和售票处
双因素验证:mTLS到webhook+ HMAC签名提供商。
反重播:"X-Idempotency-Key","X-Timestamp",时间窗口。
Allowlist IP/ASN提供商,静态传出egress-IP在我们身边。
"有毒"薪水:尺寸限制,忽略未使用的字段,严格的方案。
审核和测试端口:供应商沙箱+合同测试。
秘密和钥匙
存储:KMS/HSM/Secrets-Manager,从未在未加密的git/环境变量中。
轮换:标题/元数据中的自动"kid",召回受损密钥。
访问:破玻璃程序,记录所有保密请求。
Logi, traces, Alert
相关:每个图层中的"traceId/requestId/playerId/roundId"(ingress → API →钱包→提供商→ webhook)。
异常:"401/403/429"激增,"VOID"生长,跳跃。按地区排列,HMAC/mTLS不合格。
攻击信号:许多"nonce"彩旗,尝试旧的"timestamp",长尸体,未知"kid"。
逻辑存储:不可变(WORM)、单独的访问区域、PII掩码。
测试计划和质量控制
静态/动态AppSec:每个CI上的SAST/DAST,秘密签名,依赖项-SCA。
Pentests和red tim: replay脚本,在错误的通道上签名,rate-limits, BOLA, SSRF旁路。
合同测试:在OpenAPI/JSON-Schema上,"negative cases"。
Chaos/latency drills:提供者/收银员计时器的行为,等效性的正确性。
Bug-bounty:具有单独周边和报告规则的程序。
有用的标题和设置
`Strict-Transport-Security: max-age=63072000;includeSubDomains;preload`
`Content-Security-Policy: default-src 'none';frame-ancestors 'none'(用于API域)- `Referrer-Policy: no-referrer`
- `Permissions-Policy: geolocation=(), microphone=(), camera=()`
- `X-Content-Type-Options: nosniff`
- "Cache-Control: no-store"在私人残局
- 错误答桉:统一格式
json
{ "error":"INVALID_SIGNATURE", "code":"SEC_401", "traceId":"tr_5f1", "ts":"2025-10-17T14:22:06Z" }反模式(打破安全性)
长寿命的JWT/refresh令牌无需旋转或绑定到设备。
没有JSON规范化的"原样"签名→检查壁板。
缺少"Idempotency-Key"的金钱/网络包→双重注销。
Wildcard-CORS和"在"Access-Control-Allow-Origin"中"用于"授权"的尾声。
带有PII/Secret的徽标,"人人共享"的徽标共享。
用于所有集成的单共享HMAC密钥。
JSON的尺寸/深度没有限制,没有计时器和巡回破发器。
显示内部部件的错误(堆栈跟踪、SQL、库版本)。
安全检查清单API赌场
周边和运输
- 服务间和提供商渠道上的mTLS;TLS 1.3到处都是。
- 具有WAF/机器人管理功能的 API网关,限制等级,威胁功能。
- CORS只是有针对性的,没有通配符。
身份验证/授权
- 客户OAuth2/OpenID,具有TTL的JWT ≤ 10分钟,钥匙轮换("kid")。
- 按领域划分的RBAC/ABAC;admin-SSO+MFA+IP allowlist。
完整性和重复查询
- HMAC签名,"X-Request-Timestamp","X-Request-Nonce"和时间窗口。
- "X-Idempotency-Key"在金钱,网络包,结账上;将密钥存储在缓存中。
验证的
- OpenAPI/JSON-Schema,JSON规范化,尺寸/深度限制。
- 字段的蒙面和白色主义者;禁止大规模分配。
PII和数据
- PII标记/加密(KMS/HSM),最小化,单独的回避策略。
- PII/遥测/金钱的分离存储。
整合
- Webhooks: mTLS+HMAC、allowlist IP、反重播、合同测试。
- Cassa/Crypta:两个提供商和不同的密钥/网络,每个输入/出口的标识。
可观察性
- 使用"traceId/PlayerId/roundId"进行训练,对攻击信号进行警报。
- Logi不可变(WORM),没有PII/秘密。
流程
- SAST/DAST/SCA in CI, pentests/red-tim定期,bug-bounty.
- Runbooks事件:反向键、回滚、通信。
iGaming中的API安全性不是"设置WAF"。它是一个系统:mTLS+签名+等效性,严格的验证和规范化,周边和速度保护,PII绝缘,安全的票房网络手册,可观察性和定期检查。通过将其作为工程文化的一部分,您可以保护金钱,玩家和许可证,同时保持产品速度和发布稳定性。