除了通过其 API 端点之外,还有其他方式进入后端吗?

【问题标题】:Is there anyway to enter a backend other than by its API endpoints?除了通过其 API 端点之外,还有其他方式进入后端吗?
【发布时间】:2016-02-28 11:23:16
【问题描述】:

假设我有一个后端只在一个 API 中公开一个端点

这个端点是我数据库的唯一“门”吗?

如果这个唯一的端点只接受一个参数作为 int,或者甚至更好,根本没有参数,我的数据库是否受到保护以免受所有类型的攻击?

如果它仍然容易受到攻击,请告诉我为什么/如何。

编辑 有人指出,这个问题太大了。所以更准确地说: 是否可以通过我的端点之一以任何其他方式进入我的数据库。

这是一个是或否的问题,如果可能的话,可能会提供一些额外的信息。

谢谢

【问题讨论】:

标签: mysql database security sql-injection backend


【解决方案1】:

这是一个相当(太大)的问题。我会考虑:

  • 保护您的端点:您确定在您的端点上进行任何形式的注入都是不可能的吗?如果我发送奇怪的东西,比如“”“;drop table ...”“””。另一个典型且非常常见的威胁是 DoS 攻击,其中您的端点被恶意请求淹没
  • 保护您的机器:大主题,但这包括防火墙、安全更新、用于定义和管理谁可以以及如何连接到此服务器的安全策略。如果有人以 root 身份访问您的机器,他将可以访问您的数据库

【讨论】:

    猜你喜欢
    • 2015-12-08
    • 1970-01-01
    • 2017-07-18
    • 2012-04-10
    • 1970-01-01
    • 2017-05-09
    • 1970-01-01
    • 2013-12-22
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode