最佳实践:使用 API 规范框架强制执行一致性,并使用基于功能的测试计划超越基本的渗透测试 。
带有不正确授权逻辑的API具有不正确授权逻辑的 API 允许通过接受在低权限环境(例如 dev 或 staging)中生成的身份验证令牌来访问高权限环境,例如生产环境 。如果用户可以轻松访问生产环境中的敏感业务数据,这可能会迅速升级为一个重大漏洞 。
文章插图
精明的攻击者可能能够从较低的环境中获取身份验证令牌并将其重播到生产服务器 。身份验证的糟糕实现将允许此类访问,因为身份验证令牌本身可能是有效的,但适用于错误的环境 。为了修复这种风险,需要将 auth 令牌的授权范围适当限制在允许访问的资源范围内 。
最佳实践:使用 OAuth Scopes 或其他工具来创建和实施设计良好的授权后端 。
总结API 身份验证令牌实际上是你的应用程序中的关键 。这 5 个身份验证漏洞都在客户环境中发现,使他们的 API 容易受到攻击者入侵他们的应用程序并泄露他们无权访问的信息的攻击 。
创建清单并分析面向公众的 API 以在攻击者发布或发现它们之前找到身份验证漏洞非常重要 。
【API 的5 身份验证安全隐患】
推荐阅读
- 普洱茶饼长虫,普洱茶饼的第一饼电子身份认证
- 百度搜索信风算法,终结了使用翻页键诱导用户行为的做法
- 神应酒方的功效与作用
- 芍藥浸酒方的功效与作用
- 商陸釀酒方的功效与作用
- 生地黄酒的功效与作用
- 生地酒的功效与作用
- 芍藥黃 酒的功效与作用
- 一 五加酒方的功效与作用
- 二 五加酒方的功效与作用