加密賭場
Torrent Gear
賭場如何監控API查詢的安全性
為什麼iGaming中的API安全性至關重要
API是賭場的神經系統:投註,錢包,結賬,遊戲提供商,KYC/KYT,遙測。任何漏洞=金錢,PII,許可證,聲譽。與傳統的電子商務不同,賭場具有以下特征:現實生活中的金錢,監管性,高攻擊動機和復雜的集成矩陣。
建築原理(保護的「骨架」)
1.Zero-Trust & Least Privilege.我們不信任網絡或客戶。每個呼叫都經過驗證,訪問量最少(RBAC/ABAC)。
2.域分離。金錢/PII/售票處/遊戲網關是不同的周邊和網絡,不同的鍵和策略。
3.單個API網關。點:mTLS,WAF/機器人管理,OAuth2/JWT,比例限制,威脅輸入,拼寫。
4.默認可觀察性。Tracing,「traceId」相關性,Alerta對異常(SLO/SIEM)。
5.安全違約。短的TTL令牌,禁止「廣泛」CORS,NetworkPolicy中的deny-by-default。
身份驗證和授權
服務間呼叫:mTLS+短壽命的JWT(5-10分鐘),帶有「aud/iss/kid」和鑰匙旋轉;可選的HMAC簽名。
通話完整性: 簽名、時間、等效性
HMAC簽名請求的規範表示: 參數排序,穩定的JSON序列化(無額外空格,密鑰順序相同),標題:
X-Request-Timestamp: 2025-10-17T14:22:05Z
X-Request-Nonce: 8c1c...fa
X-Request-Signature: v1=HMAC-SHA256:base64(…)
X-Idempotency-Key: c0a4-77f…復制保護:有效的時間窗口(± 300秒),檢查緩存中的「nonce」。
Idempotency-Key for money/webhook:重播請求不會創建第二個借記/貸款。
mTLS到錢包/收銀員/提供商:加密運輸+雙方相互驗證。
受保護的POST示例:
POST /wallet/debit
Content-Type: application/json
X-Request-Timestamp: 2025-10-17T14:22:05Z
X-Request-Nonce: 8c1c0cfa
X-Idempotency-Key: 9a7f-2b1c
X-Request-Signature: v1=HMAC-SHA256:Z2V…==
{
"playerId":"p_123", "amount":"10.00", "currency":"EUR", "reason":"bet.place", "roundId":"R-2025-10-17-PRAGM-12"
}入口驗證: 計劃與規範化
JSON Schema/OpenAPI作為合同。任何字符串-通過類型,範圍和白人主義者的驗證(貨幣/國家/地區的ISO代碼,狀態的enum)。
尺寸限制:限制主體和陣列大小,禁止「深層」嵌套。
標題/標記之前的JSON規範化,特殊字符屏蔽,嚴格的「內容類型」。
批量分配鎖定(mass assignment): 顯式allow-lists字段。
表面保護: WAF、機器人、速度
WAF/機器人管理:簽名和行為識別(rate,geo,device-fingerprint)。
利率限制/quotas:通過IP/令牌/客戶端/方法;單獨限制金錢和非金錢。
DoS/abuse控制:電路斷路器,計時器,後壓,「灰色列表」。
CORS:無需在瀏覽器中點點「訪問控制-Allow-Origin」,通配符禁令和「授權」。
OWASP API Top-10 →具體措施
BOLA/BFLA (Broken Object/Function Level Auth):ABAC按資源所有者、過濾器「playerId」、禁止「其他」ID。
Injection/SSRF:參數化查詢,禁止服務器調用中的外部URL, allowlist主機。
Excessive Data Exposure:響應著色器(現場面具)、分頁、錯誤歸一化而不泄露部件。
安全性差異化:TLS/密碼版本統一,CSP/Permissions-Policy/Referrer-Policy標題。
Unsafe Consumption of API:捆綁在具有計時器、轉發器、重復數據消除功能的API提供商上。
PII和隱私
PII令牌化和加密(玩家屬性,KYC文檔):KMS/HSM,字段為AES-GCM。
數據最小化:在事件/邏輯中,只有別名(「playerId」),永遠是文檔/卡號。
Retention:根據司法管轄區的要求,域名的TTL不同(錢包/遊戲/票房)。
按角色訪問:在DB和服務(row-level security/policy)級別上劃分PII讀取。
安全webhooks和售票處
雙因素驗證:mTLS到webhook+ HMAC簽名提供商。
反重播:「X-Idempotency-Key」,「X-Timestamp」,時間窗口。
Allowlist IP/ASN提供商,靜態傳出egress-IP在我們身邊。
「有毒」薪水:尺寸限制,忽略未使用的字段,嚴格的方案。
審核和測試端口:供應商沙箱+合同測試。
秘密和鑰匙
存儲:KMS/HSM/Secrets-Manager,從未在未加密的git/環境變量中。
輪換:標題/元數據中的自動「kid」,召回受損密鑰。
訪問:破玻璃程序,記錄所有保密請求。
Logi, traces, Alert
相關:每個圖層中的「traceId/requestId/playerId/roundId」(ingress → API →錢包→提供商→ webhook)。
異常:「401/403/429」激增,「VOID」生長,跳躍。按地區排列,HMAC/mTLS不合格。
攻擊信號:許多「nonce」彩旗,嘗試舊的「timestamp」,長屍體,未知「kid」。
邏輯存儲:不可變(WORM)、單獨的訪問區域、PII掩碼。
測試計劃和質量控制
靜態/動態AppSec:每個CI上的SAST/DAST,秘密簽名,依賴項-SCA。
Pentests和red tim: replay腳本,在錯誤的通道上簽名,rate-limits, BOLA, SSRF旁路。
合同測試:在OpenAPI/JSON-Schema上,「negative cases」。
Chaos/latency drills:提供者/收銀員計時器的行為,等效性的正確性。
Bug-bounty:具有單獨周邊和報告規則的程序。
有用的標題和設置
`Strict-Transport-Security: max-age=63072000;includeSubDomains;preload`
`Content-Security-Policy: default-src 'none';frame-ancestors 'none'(用於API域)- `Referrer-Policy: no-referrer`
- `Permissions-Policy: geolocation=(), microphone=(), camera=()`
- `X-Content-Type-Options: nosniff`
- 「Cache-Control: no-store」在私人殘局
- 錯誤答案:統一格式
json
{ "error":"INVALID_SIGNATURE", "code":"SEC_401", "traceId":"tr_5f1", "ts":"2025-10-17T14:22:06Z" }反模式(打破安全性)
長壽命的JWT/refresh令牌無需旋轉或綁定到設備。
沒有JSON規範化的「原樣」簽名→檢查壁板。
缺少「Idempotency-Key」的金錢/網絡包→雙重註銷。
Wildcard-CORS和「在」Access-Control-Allow-Origin「中」用於「授權」的尾聲。
帶有PII/Secret的徽標,「人人共享」的徽標共享。
用於所有集成的單共享HMAC密鑰。
JSON的尺寸/深度沒有限制,沒有計時器和巡回破發器。
顯示內部部件的錯誤(堆棧跟蹤、SQL、庫版本)。
安全檢查清單API賭場
周邊和運輸
- 服務間和提供商渠道上的mTLS;TLS 1.3到處都是。
- 具有WAF/機器人管理功能的 API網關,限制等級,威脅功能。
- CORS只是有針對性的,沒有通配符。
身份驗證/授權
- 客戶OAuth2/OpenID,具有TTL的JWT ≤ 10分鐘,鑰匙輪換(「kid」)。
- 按領域劃分的RBAC/ABAC;admin-SSO+MFA+IP allowlist。
完整性和重復查詢
- HMAC簽名,「X-Request-Timestamp」,「X-Request-Nonce」和時間窗口。
- 「X-Idempotency-Key」在金錢,網絡包,結賬上;將密鑰存儲在緩存中。
驗證的
- OpenAPI/JSON-Schema,JSON規範化,尺寸/深度限制。
- 字段的蒙面和白色主義者;禁止大規模分配。
PII和數據
- PII標記/加密(KMS/HSM),最小化,單獨的回避策略。
- PII/遙測/金錢的分離存儲。
整合
- Webhooks: mTLS+HMAC、allowlist IP、反重播、合同測試。
- Cassa/Crypta:兩個提供商和不同的密鑰/網絡,每個輸入/出口的標識。
可觀察性
- 使用「traceId/PlayerId/roundId」進行訓練,對攻擊信號進行警報。
- Logi不可變(WORM),沒有PII/秘密。
流程
- SAST/DAST/SCA in CI, pentests/red-tim定期,bug-bounty.
- Runbooks事件:反向鍵、回滾、通信。
iGaming中的API安全性不是「設置WAF」。它是一個系統:mTLS+簽名+等效性,嚴格的驗證和規範化,周邊和速度保護,PII絕緣,安全的票房網絡手冊,可觀察性和定期檢查。通過將其作為工程文化的一部分,您可以保護金錢,玩家和許可證,同時保持產品速度和發布穩定性。