Implementazione dell'accesso sicuro per un'API

Naviga le tue risposte
1

Sto implementando una API Web con cui prevedo di autorizzare l'accesso accettando un nome utente e una password e il nome del sistema e restituendo un sessionid che può essere utilizzato nelle chiamate successive per autorizzare il chiamante.

L'API è disponibile solo con SSL 3.0 o TLS 1.0.

Quali sono gli attacchi principali che sarebbero possibili in questo scenario?

La risposta e i commenti a questa domanda SO sembrano indicare che se il rischio di attacco è proporzionalmente basso, maggiore complessità non migliorerà la sicurezza ma aggiungerà complessità. Mi piacerebbe conoscere le aree di rischio più alte per gli attacchi per determinare le contromisure appropriate, se necessario.

    
posta Thronk 13.03.2013 - 22:18
fonte

1 risposta

3

Questa è una domanda molto ampia a cui non è possibile rispondere con qualcosa di abbastanza vicino a Stack Overflow. Hai davvero bisogno di leggere un libro per capire tutto questo. Consiglio vivamente il manuale di hacker dell'applicazione Web . È una lettura interessante e istruttiva.

In generale, è necessario preoccuparsi delle persone che rubano o indovinano l'ID della sessione. Ci sono molti modi per farlo. Assicurati di essere protetto contro XSS, CSRF e di generare ID sessione con entropia e casualità sufficienti. Non cadere nella trappola dell'uso del valore temporale corrente. Quelli sono sorprendentemente abbastanza prevedibili.

    
risposta data 13.03.2013 - 22:37
fonte

Leggi altre domande sui tag

Problema di autenticità dell'applet Java autenticazione di rete basata su certificato