我有一个数据库,其中包含特定的表“Attribs”,其中包含用户的属性列表,如名称,地址,电话号码等,每个都是关键。我使用的REST API使用此表来获取属性名称并填充另一个表。但是,“Attribs”中的键正在API中公开。
e.g。如果我尝试将用户名设置为属性user_name,那么我的REST API将具有类似
的行“USER_NAME”: “ABCD”
公开这些密钥是否安全,或者是否会导致任何可能的安全问题?
答案 0 :(得分:3)
我们没有足够的背景但没有,这是一种不安全的做法,并且OWASP上有关于它的整个部分。 https://www.owasp.org/index.php/Top_10_2010-A4-Insecure_Direct_Object_References这是一个原则,不要直接暴露ID,而是使用和间接层。
您所提供的描述无法评估您案件中的影响,但如果我是您,我会适用该原则:)