Preocupaciones de seguridad en la API

0

Acabo de encontrar una API que me parece bastante vulnerable. ¿Podría aclarar si mis preocupaciones están equivocadas?

1) Para recuperar datos de usuario, API KEY, que es único para cada usuario que utilicé. Esta clave api se almacena en la url de descanso. Por ejemplo, para solicitar algo, la solicitud es build /something?api_key=dsfdsf34r3wrwfdew3r3rfw3 . La clave Api es constante para toda la vida del usuario. Se puede recuperar después de iniciar sesión. ¿Es seguro obtener datos de usuario usando esta clave? Me parece que si conozco la clave de alguna otra persona, puedo obtener todo lo que quiero de él. Y si hago una aplicación que funciona con este Api, puedo almacenar estas claves y usarlas en cualquier momento que desee para cualquier propósito que desee. ¿Son legítimas estas preocupaciones? ¿Hay otras formas de explotarlo?

2) El inicio de sesión es solo un texto sin formato con los campos email y password . He iniciado sesión con éxito utilizando el cartero y la forma simple. ¿Esta forma de inicio de sesión se considera segura? ¿Cómo se puede mejorar?

    
pregunta Heisenberg 27.11.2014 - 08:32
fuente

1 respuesta

2
  

Me parece que si conozco la api_key de otra persona, puedo obtener   Todo lo que quiero de él.

Lo mismo si tienes la contraseña de esta persona. ¿Estoy equivocado?

  

Y si hago una aplicación, que funciona con este Api, puedo almacenar estos   llaves y utilícelas en cualquier momento que desee para cualquier propósito que desee.

Sí, puede usar el token para hacer cualquier cosa que el usuario le haya otorgado. Por este motivo, no otorgue permisos a ninguna aplicación en Internet, ya que no le da su contraseña a personas que no son de confianza.

  

¿Hay otras formas de explotarlo?

Depende de muchos factores. El uso de redirectores abiertos para robar el token de la víctima, el bruto forzando los tokens API (un API decente no permitiría la fuerza bruta), etc.

  

¿Esta forma de inicio de sesión se considera segura?

Si la página se carga a través de HTTPS, el formulario publica los datos de inicio de sesión y contraseña en otra página HTTPS, y la página no tiene ningún problema de XSS o contenido mixto, por lo que es seguro "suficiente".

    
respondido por el Lucas NN 27.11.2014 - 08:45
fuente

Lea otras preguntas en las etiquetas