在开发公共 RESTful API 时是否应该认真对待不安全的直接对象引用?

【问题标题】:Should Insecure Direct Object Reference be taken seriously when developing public RESTful APIs?在开发公共 RESTful API 时是否应该认真对待不安全的直接对象引用?
【发布时间】:2014-10-02 00:05:06
【问题描述】:

我去阅读OWASP's 2013 Top-10,发现不安全的直接对象引用排名第四。然而,当我试图进一步研究一些现有的公共 RESTful API 时,事实证明 Facebook 和世界银行甚至都没有理会它。两者都只是使用直接对象引用。正如您在下面的示例中所看到的:

Facebook API 调用

http://graph.facebook.com/5

Word Bank API 调用

http://api.worldbank.org/countries/us?format=json

这是否意味着我们在开发公共 RESTful API 时不应该认真对待不安全的直接对象引用?

【问题讨论】:

    标签: api rest owasp


    【解决方案1】:

    直接来自 OWASP 指南:

    如何防止这种情况发生?
    防止不安全的直接对象引用需要选择一种方法来保护每个用户可访问的对象(例如,对象编号、文件名):
    1.使用每个用户或会话间接对象引用。 [...]
    2.检查访问。 [...]

    Facebook 和世界银行选择了选项 2 而不是选项 1。

    【讨论】:

      猜你喜欢
      • 2016-12-30
      • 1970-01-01
      • 2020-03-30
      • 2022-01-02
      • 2011-06-16
      • 2015-03-17
      • 2010-11-10
      • 2017-03-25
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode