¿Cuál es el punto en "autenticar una aplicación" con su nombre de dominio en una base de datos?

Navega tus respuestas
1

Como un desarrollo profesional autodidacta que descubre, me encuentro con cosas que me desconciertan.

En pocas palabras: se supone que debo trabajar en una aplicación ZF1 antigua (con código realmente feo, ternarios imbricados, condición dentro de la asignación y cosas sin comentarios), pero desde el viernes no comencé a trabajar porque ... ¡No puedo descubrir cómo "autentificar la aplicación" con éxito! La aplicación realiza una llamada SOAP al "portal", pasándole una versión truncada de HTTP_HOST, que luego se verifica para detectar su presencia en una base de datos. Básicamente, la fila correspondiente está formada por nombres de dominio sin subdominios, una contraseña de texto sin formato y una matriz serializada que se devuelve a la aplicación.

Si falla, lanza una excepción con el mensaje "110" (significativo eh), nada lo atrapa así: error fatal.

Por lo que entiendo lo que dice mi jefe (soy autodidacta en sitios web y libros en inglés, no es realmente un desarrollador ni arquitecto ni hablante de inglés, por lo que el diálogo puede ser extraño): "esto es para asegurar la aplicación, para que nadie pueda usar nuestro código para falsificar nuestra aplicación a través de un dominio similar al nuestro ". Aunque trato de mantenerme lo más informado posible, mi conocimiento sobre seguridad no es suficiente para responderme ... ¡Pero siento que su seguridad es totalmente inútil! Si "usan su código" es porque los malos tuvieron acceso a él ... así que al servidor ... y aún así, si obtengo el código, solo necesito deshacerme del proceso de autenticación ... o falsificar su Nombre de dominio al hacer la llamada SOAP ... Simplemente puedo reproducir ...

¿Eso tiene sentido? ¿Las solicitudes a través de SSL / TLS son más seguras que este tipo de trabajo improvisado?

Pregunta de bonificación: ¿qué sentido tiene responder con un código 200 de "Bienvenido a ninguna parte" en lugar de un 503 o cualquier otra cosa al solicitar la IP del servidor? Excepto decirle a los chicos malos "¡Eh, aquí no hay nada, pero todavía hay algo detrás!"

¡Gracias!

    
pregunta Shirraz 25.07.2016 - 13:14
fuente

1 respuesta

0

Creo que lo que el jefe está tratando de decir por

  

para que nadie pueda usar nuestro código para falsificar nuestra aplicación   a través de un dominio similar al nuestro

es que no quieren que nadie más cree un cliente diferente para su aplicación. Tienen una base de datos de clientes de confianza para sus servidores web y cumplirían con las solicitudes hechas solo desde esas direcciones.
Esta idea de clientes de listas blancas es antigua, pero su implementación es definitivamente errónea. Cualquiera puede falsificar los parámetros HTTP_POST que están buscando y hacer las llamadas SOAP que deseen.
Esta discusión (aunque no es completamente lo que su jefe quiere), puede ayudarlo: Prácticas recomendadas para proteger API abiertas frente al robo de cuotas

    
respondido por el Limit 25.07.2016 - 15:21
fuente

Lea otras preguntas en las etiquetas

¿Las acciones del portlet de WebSphere siempre están protegidas por CSRF? metasploit comando de búsqueda para buscar una y otra palabra