文件名称:AspNetCore.Hashids:ASP.NET Core API的不可预测的ID库
文件大小:48KB
文件格式:ZIP
更新时间:2024-02-26 10:20:27
hashids rest aspnetcore rest-api vulnerability
AspNetCore Hashids:避免API中的可预测ID 有时,开发人员在开发REST API时并不关心安全问题。 我知道这个范围并不简单,但是至少我们应该遵守最低限度的基本安全规则,以避免最常见的攻击。 我们必须考虑的第一件事是避免使用可预测的ID,例如身份字段。 我看到的最后一个漏洞是一个简单的bash脚本,该脚本使用for语句通过自动递增的id调用api并从系统中检索所有机密文档。 配置系统的授权是一个错误,但是使用可预测的ID有助于进行攻击。 有一些方法可以修复这种漏洞,例如使用GUID表示此ID,但是从我的角度来说,对于许多DBA而言,使用此方法有一些警告: 比传统的4