¿Cómo evitar el abuso del punto final del servidor web desde un cliente no autorizado?

1

Me di cuenta de que una vez que un usuario inicia sesión en la aplicación y recibe un token de autenticación, existe la posibilidad de que puedan usar ese token junto con un cliente no autorizado para explotar un punto final al que ahora tienen acceso.

Por ejemplo, pueden hacer un millón de publicaciones de basura o intentar agradar algo hasta mil veces (ejemplos triviales, pero se entiende)

Pregunta :

¿Qué estrategias podemos usar para protegernos contra este tipo de explotación de un usuario malintencionado y para que los puntos finales se utilicen para lo que fue diseñado?

    
pregunta Nick Pineda 21.03.2016 - 17:25
fuente

1 respuesta

1

Para sus ejemplos, necesitaría un mecanismo de regulación en su aplicación que verifique algunas condiciones previas, como la marca de tiempo de la última actividad del usuario antes de que se procese la solicitud.

Sin embargo, no existe una medida de propósito general que impida todo uso indebido de su aplicación. Debe analizar los casos de uso en su aplicación y pensar cómo podría explotarse la funcionalidad para desarrollar e implementar controles de seguridad. Una prueba de penetración podría ayudar con esto.

Su enfoque actual se parece un poco a la seguridad de caramelo (Autenticación como capa de seguridad única).

    
respondido por el Noir 21.03.2016 - 23:53
fuente

Lea otras preguntas en las etiquetas