È un servizio web REST senza autenticazione o autorizzazione non protetta?

1

Esiste un servizio web basato su REST che non ha alcuna autenticazione o autorizzazione - chiunque possa conoscere un URL di un particolare metodo di questo servizio web può utilizzarlo.

Tuttavia, gli URL dei metodi non sono esposti al pubblico (ad esempio, non esiste una documentazione pubblica che enumeri i metodi API, o qualcosa del genere). Solo l'accesso al webservice è un'applicazione Android che, ovviamente, deve conoscere gli URL per utilizzare il webservice (sono codificati in esso). L'app non è pubblicata in nessun app store pubblico ed è solo distribuita internamente.

C'è un modo per un potenziale aggressore di accedere al servizio web al di fuori dell'app Android? Ovviamente, un modo ovvio sarebbe in qualche modo ottenere l'app, decompilarla e scoprire quali sono gli URL; ci sono altri modi realistici tranne quello?

Il webservice in questione esiste davvero. In questo momento, ho solo un sentimento che l'intero setup è una ricetta per il disastro - Ho bisogno di alcuni esempi particolari per essere in grado di convincere il mio capo che veramente abbiamo bisogno di migliorare la situazione in qualche modo.

    
posta user66497 17.01.2015 - 17:05
fonte

3 risposte

4

Ecco alcuni possibili scenari:

  • un utente dell'app si connette a Internet tramite un hotspot Wi-Fi pubblico e il semplice traffico HTTP viene intercettato da una terza persona. Quella persona è in grado di ottenere i tuoi URL.
  • Il provider di Internet mobile dell'utente di
  • app implementa la raccolta automatica e l'analisi del comportamento dell'utente al fine di creare un profilo comportamentale per il targeting degli annunci. Se sembra troppo inverosimile, controlla questa storia su Verizon negli Stati Uniti. Ho anche sentito parlare di alcuni provider Internet in Russia che implementano una soluzione simile. Poiché non hai specificato il Paese in questione, non so che cosa si applica al tuo caso.
  • sorveglianza di massa da parte della NSA o qualsiasi altro servizio di sicurezza.

Per lo meno, implementerei HTTPS o crittografare il traffico utilizzando il certificato con hard-coded. Questo non metterà via un attaccante determinato, ma dovrebbe ostacolare l'ascolto "drive-by".

    
risposta data 17.01.2015 - 19:05
fonte
0

dovresti assolutamente implementare alcune autorizzazioni, perché qualcuno potrebbe eseguire la scansione della tua rete e vedere le connessioni in uscita, e vedere che c'è una connessione a questo URL, e potrebbe volerlo sfruttare.

modo più semplice per spiegarlo.

strumenti che possono essere utilizzati:

nmap: scansiona le porte e le connessioni

Squalo filo: sessioni di dirottamento.

pecore droidi: sessioni di dirottamento.

dato che non hai autenticazione o autenticazione, qualcuno potrebbe facilmente dirottare una sessione.

così tante possibilità!

    
risposta data 17.01.2015 - 17:30
fonte
0

Penso che tu sia abbastanza in errore nel tuo assunto qui. Poiché l'applicazione Android sta effettuando la chiamata, non significa che questa è l'unica posizione in cui la richiesta verrà vista. Questo è solo il punto di origine della richiesta.

Se questa richiesta sta attraversando una rete di proprietà di un utente malintenzionato (cafe wifi, ap canaglia), può essere registrata o intercettata, e se esce attraverso un proxy?

Se avessi intenzione di attaccare il tuo servizio, la prima cosa che farò è proxy della richiesta di vedere quali API vengono chiamate e quali parametri vengono utilizzati.

Se non c'è l'autenticazione, potrei iniziare a usare i tuoi servizi web in un mio prodotto mentre paghi il conto. Se i tuoi servizi web restituiscono bene i dati succosi, io elencherò ogni pezzo che posso o se sarò arrabbiato con il mondo, potrei vedere solo quello che serve per consumare tutte le risorse del tuo servizio.

  • HTTPS
  • Autenticazione
  • Autorizzazione
  • Monitoraggio delle tue API

Queste non sono opzioni - queste sono must have su qualsiasi servizio web

    
risposta data 29.01.2018 - 21:48
fonte

Leggi altre domande sui tag