क्रिप्टो कैसीनो
धार गियर
कैसे कैसीनो एपीआई अनुरोधों की सुरक्षा की निगरानी करता है
क्यों iGaming में API सुरक्षा महत्वपूर्ण है
एपीआई - कैसीनो तंत्रिका तंत्र: दांव, बटुआ, कैश डेस्क, गेम प्रदाता, केवाईसी/केवाईटी, टेलीमेट्री। कोई छेद = पैसा, पीआईआई, लाइसेंस, प्रतिष्ठा। नियमित ई-कॉमर्स के विपरीत, कैसिनो में विशेषताएं हैं: वास्तविक समय का पैसा, विनियमन, हमलावरों की उच्च प्रेरणा और एक जटिल एकीकरण मैट्रिक्स।
वास्तुशिल्प सिद्धांत (सुरक्षा कंकाल)
1. जीरो-ट्रस्ट और कम से कम विशेषाधिकार। हम नेटवर्क या ग्राहकों पर भरोसा नहीं करते हैं। प्रत्येक कॉल की जांच की जाती है, पहुँच न्यूनतम आवश्यक होती है (RBAC/ABAC)।
2. डोमेन पृथक्करण। मनी/पीआईआई/कैश/गेम गेटवे - विभिन्न परिधि और नेटवर्क, विभिन्न कुंजी और नीतियां।
3. एकल एपीआई प्रवेश द्वार। बिंदु: mTLS, WAF/बॉट प्रबंधन, OAuth2/JWT, दर सीमा, खतरे-फ़ीड, लॉगिंग।
4. डिफ़ॉल्ट अवलोकन। ट्रेसिंग, सहसंबंध 'traceId', विसंगतियों (SLO/SIEM) पर अलर्ट।
5. सुरक्षित डिफ़ॉल्ट। शॉर्ट टीटीएल टोकन, "वाइड" सीओआरएस पर प्रतिबंध लगाना, नेटवर्कपॉलिसी में डिफ़ॉल्ट से इनकार करना।
सत्यापन और प्राधिकरण
अंतर-सेवा कॉल: mTLS + अल्पकालिक JWT (5-10 मिनट) 'aud/is/kud' और कुंजी रोटेशन के साथ; वैकल्पिक HMAC बॉडी सिग्नेचर।
इंटीग्रिटी कॉल करें - हस्ताक्षर, समय, पहचान
कैनोनाइज्ड सबमिशन अनुरोध का HMAC हस्ताक्षर: पैरामीटर सॉर्टिंग, स्थिर JSON क्रमबद्धता (अनावश्यक स्थानों के बिना, एक ही कुंजी क्रम), हेडर:
एक्स-रिक्वेस्ट- टाइमस्टैम्प: 2025-10-17T14:22:05Z
एक्स-रिक्वेस्ट-नॉन: 8c1c... fa
एक्स-रिक्वेस्ट-सिग्नेचर: v1 = HMAC-SHA256: base64 (...)
एक्स-आइडेम्पोटेंसी-की: c0a4-77f...रीप्ले सुरक्षा: मान्य समय विंडो ( 300 सेकंड), कैश में 'नॉन' की जाँच।
पैसे/वेबहूक के लिए पहचान-कुंजी: अनुरोध को दोहराने से दूसरा डेबिट/क्रेडिट नहीं बनता है।
एमटीएलएस से वॉलेट/कैश डेस्क/प्रदाता: पार्टियों का परिवहन एन्क्रिप्शन + आपसी सत्यापन।
सुरक्षित पोस्ट का उदाहरण:
POST/बटुआ/डेबिट
सामग्री प्रकार: अनुप्रयोग/json
एक्स-रिक्वेस्ट- टाइमस्टैम्प: 2025-10-17T14:22:05Z
एक्स-रिक्वेस्ट-नॉन: 8c1c0cfa
X-Idempotency-Key: 9a7f-2b1c
एक्स-रिक्वेस्ट-सिग्नेचर: v1 = HMAC-SHA256: Z2V... = =
{
"प्लेयरआईडी":" पी _ 123", "राशि":" 10। 00" ", मुद्रा":" ईयूआर", "कारण":" शर्त। जगह" ", राउंडआईडी":" आर-2025-10-17-PRAGM-12"
}इनपुट सत्यापन: स्कीमैटिक्स और कैनोनिकलाइजेशन
अनुबंध के रूप में JSON स्कीमा/OpenAPI। कोई भी स्ट्रिंग - प्रकार, रेंज और श्वेतलिस्ट (मुद्राओं/देशों के आईएसओ कोड, एनम स्टेटस) के सत्यापन के माध्यम से।
आकार की सीमा: शरीर के आकार और सरणियों को सीमित करें, "गहरे" घोंसले के शिकार पर प्रतिबंध लगाएं।
हस्ताक्षर/लॉग से पहले JSON का कैनोनिकलाइजेशन, विशेष वर्णों की स्क्रीनिंग, सख्त 'सामग्री-प्रकार'।
बड़े पैमाने पर असाइनमेंट लॉक-स्पष्ट क्षेत्रों की अनुमति-सूची।
सतह की सुरक्षा: WAF, बॉट्स, गति
WAF/बॉट प्रबंधन: हस्ताक्षर और व्यवहार का पता लगाना (दर, भू, उपकरण-फिंगरप्रिंट)।
दर सीमा/कोटा: आईपी/टोकन/क्लाइंट/विधि द्वारा; पैसे और गैर-पैसे पर अलग सीमा।
डॉस/दुरुपयोग-नियंत्रण: सर्किट-ब्रेकर्स, टाइमआउट, बैकप्रेशर, "ग्रे लिस्ट।"
CORS: ब्राउज़र क्रॉस-ओरिजिन में बिंदु 'एक्सेस-कंट्रोल-अनुमति-मूल', वाइल्डकार्ड प्रतिबंध और 'प्राधिकरण' अनावश्यक रूप से।
OWASP API टॉप -10 → विशिष्ट उपाय
BOLA/BFLA (टूटी हुई वस्तु/फ़ंक्शन स्तर Auth): संसाधन मालिक द्वारा ABAC, 'प्लेयर' द्वारा फ़िल्टर, "विदेशी" पहचानकर्ताओं का निषेध।
इंजेक्शन/एसएसआरएफ: पैरामीटर किए गए अनुरोध, सर्वर कॉल में बाहरी यूआरएल का निषेध, मेजबान मिश्रधातु।
अत्यधिक डेटा एक्सपोज़र: प्रतिक्रियाओं (फील्ड मास्क) को आकार देना, पैगिनेशन, भाग रिसाव के बिना त्रुटि सामान्यीकरण।
सुरक्षा मिसकॉन्फ़िगरेशन: टीएलएस/सिफर संस्करण एकता, सीएसपी/अनुमति-नीति/रेफरर-नीति हेडर।
एपीआई की असुरक्षित खपत: प्रदाता एपीआई पर टाइमआउट, रिट्रे, डीडुप्लीकेशन के साथ रैपर।
पीआईआई और गोपनीयता
पीआईआई टोकन और एन्क्रिप्शन (खिलाड़ीविशेषताएं, केवाईसी दस्तावेज): केएमएस/एचएसएम, क्षेत्र - एईएस-जीसीएम।
डेटा न्यूनतम करना: घटनाओं/लॉगों में - केवल उपनाम ('प्लेयर आईडी'), कभी नहीं - दस्तावेज ़/कार्ड संख्या।
प्रतिधारण: टीटीएल न्यायालयों की आवश्यकताओं के अनुसार डोमेन (वॉलेट/गेम/कैश रजिस्टर) के लिए अलग है।
भूमिका पहुंच: डेटाबेस और सेवा स्तर (पंक्ति-स्तरीय सुरक्षा/नीति) पर पीआईआई पढ़ ने का भेदभाव।
सुरक्षित वेबहुक और बॉक्स ऑफिस
दो-कारक सत्यापन: mTLS से वेबहुक + प्रदाता के HMAC हस्ताक्षर।
एंटी-रिप्ले: 'X-Idempotency-Key', 'X-Timestamp', टाइम विंडो।
Allowist IP/ASN प्रदाता, हमारे साथ स्थैतिक egress-IP।- "जहरीले" पेलोड: आकार की सीमा, अप्रयुक्त क्षेत्रों की अनदेखी, सख्त योजना।
- ऑडिट और परीक्षण समापन बिंदु: प्रदाता सैंडबॉक्स + अनुबंध परीक्षण।
रहस्य और कुंजी
भंडारण: KMS/HSM/सीक्रेट-मैनेजर, बिना एन्क्रिप्शन के गिट/एनवायरनमेंट वेरिएबल में कभी नहीं.
रोटेशन: हेडर/मेटाडेटा में स्वचालित, 'बच्चा', समझौता कुंजी को संशोधित करना।
पहुंच: ब्रेक-ग्लास प्रक्रियाएं, रहस्यों तक सभी पहुंच को लॉग करना।
लॉग, ट्रेल्स, अलर्ट
सहसंबंध: प्रत्येक परत में 'traceId/ Id/playId/rouleId' (ingress API वॉलेट प्रदाता वेबहुक)।
विसंगतियाँ: वृद्धि '401/403/429', वृद्धि 'VOID', क्षेत्र, HMAC/mTLS विफलताओं द्वारा 'बेट। अस्वीकार' कूदता है।
हमला संकेत: कई 'nonce' रिप्ले, पुराने 'timestamp' attempts, लंबे शरीर, अज्ञात 'बच्चा'।
लॉग स्टोरेज: अपरिवर्तनीय (WORM), अलग एक्सेस ज़ोन, PII मास्किंग।
परीक्षण योजना और गुणवत्ता नियंत्रण
स्थिर/गतिशील AppSec: SAST/DAST प्रत्येक CI पर, गुप्त हस्ताक्षर, निर्भरता - SCA।
पेंटेस्ट और एड-टिम: रीप्ले स्क्रिप्ट, गलत चैनल पर हस्ताक्षर, दर-सीमा बाईपास, बोला, एसएसआरएफ।
अनुबंध परीक्षण: OpenAPI/JSON-Schema के लिए, "नकारात्मक मामले।"
अराजकता/विलंबता अभ्यास: प्रदाताओं/नकद डेस्क के समय पर व्यवहार, पहचान की शुद्धता।
बग-बाउंटी: एक अलग परिधि और रिपोर्टिंग नियमों के साथ एक कार्यक्रम।
उपयोगी शीर्षक और सेटिंग
'सख्त-परिवहन-सुरक्षा: अधिकतम आयु = 63072000; सबडोमेन; 'प्रीलोड'
'सामग्री-सुरक्षा-नीति: डिफ़ॉल्ट-src' कोई नहीं '; फ्रेम-पूर्वजों 'नोन "(एपीआई डोमेन के लिए)
'रेफरर-पॉलिसी: नो-रेफरी'
'अनुमति-नीति: जियोलोकेशन = (), माइक्रोफोन = (), कैमरा = ()'
'एक्स-कंटेंट-टाइप-ऑप्शन: नोसनिफ'
'कैश-कंट्रोल: नो-स्टोर' ऑन प्राइवेट एंडपॉइंट्स
त्रुटि प्रतिक्रियाएँ - एकल प्रारूप
json
{"त्रुटि ": "INVALID _ SIGNATURE", "कोड ": "SEC _ 401", "traceId ":" tr _ 5f1", "ts ":" 2025-10-17T14: 22:06 Z"}एंटी-पैटर्न (जो सुरक्षा को तोड़ ता है)
डिवाइस के लिए रोटेशन और बाध्यकारी के बिना लंबे समय तक जीवित JWT/ताज़ाटोकन।
हस्ताक्षर "जैसा कि" JSON के विहित के बिना है - चेक का मार्ग।- पैसे/वेबहूक पर 'आइडेम्पोटेंसी-की' की कमी - डबल राइट-ऑफ।
- वाइल्डकार्ड-CORS और 'एक्सेस-कंट्रोल-अनुमति-मूल' में 'प्राधिकरण' के साथ समापन बिंदुओं के लिए।
- PII/रहस्यों के साथ लॉग, "सभी के लिए" लॉग तक पहुंच साझा की।
- एक एकल HMAC ने सभी एकीकरणों के लिए कुंजी साझा की।
- कोई JSON आकार/गहराई सीमा, कोई टाइमआउट और सर्किट-ब्रेकर नहीं।
- त्रुटियाँ जो आंतरिक भागों को प्रकट करती हैं (स्टैक ट्रेस, एसक्यूएल, लाइब्रेरी संस्करण)।
कैसीनो एपीआई सुरक्षा जांच सूची
परिधि और परिवहन
- अंतर-सेवा और प्रदाता चैनलों पर एमटीएलएस; टीएलएस 1। हर जगह 3।
- WAF/बॉट प्रबंधन, दर सीमित, खतरे-फ़ीड के साथ API प्रवेश द्वार।
- CORS - केवल पता, कोई वाइल्डकार्ड नहीं।
सत्यापन/प्राधिकरण
- ग्राहकों के लिए, TTL 10 मिनट के साथ JWT, कुंजी रोटेशन ('बच्चा')।
- डोमेन द्वारा RBAC/ABAC; व्यवस्थापक - SSO + MFA + IP-allowist।
अखंडता और पुन: अनुरोध
- एचएमएसी हस्ताक्षर, 'एक्स-रिक्वेस्ट-टाइमस्टैम्प', 'एक्स-रिक्वेस्ट-नॉन' और टाइम विंडो।
- पैसे, वेबहूक, चेकआउट पर 'एक्स-आइडेम्पोटेंसी-की'; कैश में चाबियों का भंडारण।
सत्यापन
- OpenAPI/JSON-Schema, JSON canonicalization, आकार/गहराई सीमा।
- खेतों के लिए मास्किंग और सफेदी; सामूहिक असाइनमेंट का निषेध।
पीआईआई और डेटा
- पीआईआई टोकन/एन्क्रिप्शन (केएमएस/एचएसएम), न्यूनतम करना, अलग प्रतिधारण नीतियां।
- पीआईआई/टेलीमेट्री/मनी के लिए स्प्लिट स्टोरेज।
एकीकरण
- वेबहूक: एमटीएलएस + एचएमएसी, एलोविस्ट आईपी, एंटी-रिप्ले, कॉन्ट्रैक्ट टेस्ट।
- नकद/क्रिप्टो: दो प्रदाता और विभिन्न कुंजी/नेटवर्क, इनपुट/आउटपुट के लिए पहचान।
अवलोकन क्षमता
- 'traceId/playerId/roundId' के साथ ट्रेसिंग, सिग्नल पर हमला करने के लिए सतर्क।
- लॉग अपरिवर्तनीय (WORM), कोई PII/रहस्य नहीं।
प्रक्रियाएँ
- सीआई में SAST/DAST/SCA, पेंटेस्ट/एड-टिम नियमित रूप से, बग-बाउंटी।
- रनबुक की घटनाएं: चाबी, रोलबैक, संचार को निरस्त करें।
IGaming में API सुरक्षा "WAF" नहीं है। "ये प्रणाली हैं: एमटीएलएस + हस्ताक्षर + पहचान, सख्त सत्यापन और विहित, परिधि और गति सुरक्षा, पीआईआई अलगाव, सुरक्षित नकद रजिस्टर वेबहूक, अवलोकन और नियमित जांच। इंजीनियरिंग संस्कृति का यह हिस्सा बनाकर, आप उत्पाद की गति और जारी स्थिरता को बनाए रखते हुए पैसे, खिलाड़ियों और लाइसेंस की रक्षा करते हैं।