1
루프백 API를 사용할 때 보안 문제가 있습니다. 문제는 URL/헤더 쿼리를 통해 액세스 토큰에 액세스 할 수 있다는 것입니다. 루프백 API를 호출 할 때 액세스 토큰을 숨길 수 있습니까? 또는 본체에 POST로 액세스 토큰을 넣을 수있는 설정이 있습니까?루프백 - 요청 액세스 토큰 숨기기
감사합니다.
A
답변
1
당신은 항상 HTTPS를 사용한다.
URL에서 데이터를 숨기는 것만으로는 정보가 헤더/쿠키 내부의 일반 텍스트로 전송되기 때문에 공격을 막는 데 도움이되지 않습니다.
HTTPS를 사용하도록 설정하고 HTTP 쿼리를 HTTPS로 리디렉션하면 서버와 클라이언트 만 예상되는 동작을 볼 수 있습니다.
이렇게하면 로그인 데이터가 일반 텍스트로 전송되는 것을 방지 할 수 있습니다. 이는 항상 나쁜 생각입니다.
You can check this document on deployment 또는 시도하십시오 this example project for enabling SSL.
3
GET 매개 변수로 액세스 토큰을 보내는 대신 Authorization 헤더로 보내보십시오.
헤더 : 당신이 당신의 API에서 인증을 수행하는 경우 Authorization: $ACCESS_TOKEN
더 많은 정보를 정기적으로 here
+0
안녕하세요, Tobias, 의견을 보내 주셔서 감사합니다.하지만 사용해보십시오.하지만 여전히 헤더에 액세스 토큰이 표시됩니다. 예 : GET/API/AgentParties HTTP/1.1 호스트 : 10.53.6.13:3000 인증 : LQT09Vobp5ZYzutBdETooEU28ydOvG6QyEaycAhGGE6WZsLCQZZ8g2eCrEKw7J3t 캐시 제어 : 노 캐시 이죠 - 토큰 : 3ec25658-7e8c-fcf5-26ef-1f69a2e3473c 당신을 감사 . – Xnuxer
+0
@Xnuxer 왜/어떤 로깅 도구를 사용합니까? –
+0
Burp Suite,하지만 https (SSL)로 변환하면 http를 사용하는 것으로 해결되었습니다. 고마워요 토비아스. – Xnuxer
예, 작동합니다. 감사합니다 아카풀코. – Xnuxer
URL에서 * access_token *을 숨기는 것은 실제로 HTTPs를 사용하는 경우에도 좋습니다. URL을 즐겨 찾기에 추가하거나, 기록을 찾아 보거나, 링크를 공유하려고하는 등 여러 가지 방법으로 악용 할 수 있습니다. – adelriosantiago