Problemi di sicurezza sull'API

0

Ho appena incontrato API che trovo piuttosto vulnerabili. Potresti chiarire se le mie preoccupazioni sono sbagliate?

1) Per il recupero dei dati utente, API KEY, che è unico per ogni utente che ho usato. Questa chiave API è memorizzata nell'URL di riposo. Ad esempio, per richiedere qualcosa, la richiesta è build /something?api_key=dsfdsf34r3wrwfdew3r3rfw3 . La chiave Api è costante per la vita dell'utente. Può essere recuperato dopo il login. È sicuro ottenere dati utente usando questa chiave? Mi sembra che se conosco l'api_key di un'altra persona, posso ottenere tutto ciò che voglio su di lui. E se faccio un'app, che funziona con questa Api, posso semplicemente archiviare queste chiavi e usarle ogni volta che voglio per qualsiasi scopo io desideri. Queste preoccupazioni sono legittime? Ci sono altri modi per sfruttarlo?

2) Login è solo un semplice modulo di testo con i campi email e password . Ho loggato con successo usando il postino e il modulo semplice. Questa forma di accesso è considerata sicura? Come può essere migliorato?

    
posta Heisenberg 27.11.2014 - 08:32
fonte

1 risposta

2

It seems to me, that if I know some other person's api_key, I can get everything I want about him.

Lo stesso se hai la password di questa persona. Mi sbaglio?

And if I make an app, that works with this Api, I can just store these keys and use them anytime I want for whatever purpouses I want.

Sì, puoi usare il token per fare tutto ciò che l'utente ti ha concesso. Per questo motivo, non concedere autorizzazioni a qualsiasi app su Internet, come non dare la tua password a persone non fidate.

Are there other ways to exploit it?

Dipende da molti fattori. Utilizzare i redirector aperti per rubare il token della vittima, forzare brutalmente i token dell'API (un'API decente non consentirebbe la forza bruta), ecc.

Is this form of login is considered safe?

Se la pagina viene caricata su HTTPS, il modulo registra i dati di login e password su un'altra pagina HTTPS e la pagina non ha problemi di XSS o di contenuto misto, quindi è "abbastanza" sicura.

    
risposta data 27.11.2014 - 08:45
fonte

Leggi altre domande sui tag