如果我有一个用于登录的休息端点,它不匹配常见语义,如随机UID
my_url.com/api/2lk3jh54kjhlkj34hhlkjhvaksjdv123
和类似的参数名称,这是否相对安全?这有助于防止暴力登录尝试吗?
这是否可以替代将被标记为暴力攻击或联合工作的IP列入黑名单?
答案 0 :(得分:1)
使用Forced Browsing枚举API端点非常常见,因为它运行良好。但是,如果攻击者可以访问客户端,那么他们可以拦截HTTP请求,并识别HTTP端点。拦截来自客户端的流量是攻击者在定位后端服务时将采取的第一步,这些请求可用于模糊测试或其他操作。
单独使用黑名单几乎从不使用 - gmail and accounts.google.com use a heat-based approach to brute force protection。此外,2fa是一种强大的缓解措施,应始终由管理/超级用户帐户使用。