為了避免自己撰寫出具有安全風險的程式碼而仍不自知,就挑上這堂 從 OWASP Top 10 實現全方位防禦強化 課程。這邊筆記除下保護不足的 API 會有哪些風險。
課程相關資訊
[連結]:https://hiskio.com/courses/1539/lectures/146893
本篇範圍:Chapter 4
請注意:本系列文章為個人對應課程的消化吸收後,所整理出來的內容。換言之,並不一定會包含全部的課程內容,也有可能會添加其他資源來說明。
內容
1. 從交換檔案模式下手,例如 Rest -> JSON、Soap -> XML、RPC
2. Brute Force:暴力破解、監聽 Request ( 中間人攻擊 )、不安全的 Input 資料處理、隱含的登出操作,進而被監聽攻擊、基本的認證
防禦方法
1. 請求 Throttling,在一段時間內的請求次數上線
2. 限制登入次數
3. 所有的通訊加密 -> https
4. Input 輸入內容過濾
5. 限制 API 存取和驗證
6. Session 管理,像是一段時間未存取就予以登出
