Come evitare l'abuso dell'endpoint del web server da un client canaglia?

Naviga le tue risposte
1

Mi sono reso conto che una volta che un utente accede all'applicazione e riceve un token di autenticazione c'è il potenziale che possano usare quel token insieme a un client canaglia per sfruttare un endpoint a cui ora hanno accesso.

Ad esempio, possono creare un milione di post di spazzatura o tentare di apprezzare qualcosa di mille volte (esempi banali ma ottieni il punto)

Domanda:

Quali strategie possiamo usare per evitare questo tipo di sfruttamento da parte di un utente malintenzionato e mantenere gli endpoint utilizzati per quello che era destinato?

    
posta Nick Pineda 21.03.2016 - 17:25
fonte

1 risposta

1

Per i tuoi esempi avresti bisogno di un meccanismo di limitazione nell'applicazione che controlli alcune precondizioni come il timestamp dell'ultima attività dell'utente prima che la richiesta venga elaborata.

Tuttavia non esiste una misura generale che prevenga ogni abuso della tua applicazione. È necessario analizzare i casi d'uso nella propria applicazione e riflettere su come sfruttare la funzionalità per sviluppare e implementare i controlli di sicurezza. Un test di penetrazione potrebbe aiutare in questo.

Il tuo approccio attuale assomiglia un po 'alla sicurezza delle caramelle (autenticazione come livello di sicurezza singola).

    
risposta data 21.03.2016 - 23:53
fonte

Leggi altre domande sui tag

Un chiamante può essere autenticato? Protocolli dinamici e randomizzati a Deter attacker