iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 23
1
Security

Web Security 魔法使攻略系列 第 23

Web Security 魔法使攻略─不安全的 API

正文

現在很多網站都是前後端分離,過程當中使用了 API 來進行溝通,
因此 API 的安全慢慢變世人與駭客重視,
還記得我們之前提到的同源政策,
有些開發者為了開發方便,會忽列同源政策的重要性,
進而讓自己的 API 可以跨網域的去存取各種資源。

再來我遇到一些 不安全的 API 實例,
常見的使用 http 進行傳輸,
可以使用我組員的文章快速讓自己的網頁變成HTTPS
呼籲:請盡速讓自己的服務都使用 https 感謝!

如果你的 API 是傳輸使用的敏感資料,
可以使用 HTTP Basic Auth 進行加密,
基本上他會在你的請求中的擋頭放上 Authorization: Basic 識別使用者的字串。

你也可以限制請求中的 user-agent,
我們可以看看關於 googlebot 的 user-agent 長這樣:
Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Googlebot/2.1;
為了限制爬蟲我們可以限制請求中的 user-agent。

你的 API 應該要限制每個人請求的頻率,
正常的請求數以及不正常的請求數,
你需要有 log 去紀錄這些異常現象,
才可以去設定黑名單或是白名單來限制。


上一篇
Web Security 魔法使攻略─SSRF
下一篇
Web Security 魔法使攻略─XXE
系列文
Web Security 魔法使攻略30

尚未有邦友留言

立即登入留言