[閒聊] Injection in API HTTP request from frontend?

看板NetSecurity (資安資訊安全)作者CMJ0121 (不要偷 Q)時間5年前 (2019/07/04 20:21)推噓2(2推 0噓 0→)

留言2則, 2人參與討論串1/1

新的系列板上大家還是害羞提出問題我有空的時候從 stackexchange 上面拿問題討論來自 security.stackexchange.com [0] 的發問標題是：Security implications of injection in api http request from frontend? 很像是設計 API 的工程師初次接觸到資訊安全領域的人會提出來的問題對於 API 實作方面上擔心是否會出現 Injection 相關的安全性漏洞他的提問算是蠻粗略的像是 article = httpLibrary.get('api.mysite.com/articles/' + articleId); 這樣的函數是否存在 CRLF 等其他的安全性問題基本上我會選擇回答這取決於你還做了哪些事情單從一行 code 來看它本身當然沒啥問題有機會出現問題的是 httpLibrary.get 的實作既然是別人實作上的問題那可能發生的漏洞就會很多如果參照 OWASP Top 10 - A1 Injection [1] 的建議要避免 Injection 的方式可以使用 - 安全的 API 代表要看 httpLibrary.get 是否太久沒更新、或者有安全性漏洞 - 白名單的輸入值檢查做額外的 articleId 像是只允許數字 - 跳脫特殊字元跳脫除了 A-Za-z0-9 以外的所有字元 [0]: https://security.stackexchange.com/questions/212908 [1]: https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 106.1.224.240 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1562242903.A.BE7.html