我是否可以通过仅允许来自localhost的连接来充分保护管理门户网站?

时间:2017-08-13 19:27:52

标签: ruby-on-rails security architecture phoenix-framework

我是否可以通过仅允许访问IP为127.0.0.1的人来充分保护API资源?这当然是假设API所在的服务器受强密码和密钥文件保护。

1 个答案:

答案 0 :(得分:1)

正如@quinz评论的那样,更多的上下文会很有用,但是这里有一些常见的Web应用程序问题,即使攻击者没有在您的服务器上获取shell,也可能会影响您:

  • 可以使用Server-Side Request Forgery攻击来使服务器代表攻击者发出请求。这些请求将来自localhost。根据特定漏洞和管理API端点,此类攻击可用于泄露数据或发出状态更改请求。
  • 假设管理员有时在服务器上使用浏览器(可能访问管理界面),可以使用Cross-Site Request Forgery攻击向管理API发出状态更改请求。通常,CSRF要求受害者登录到应用程序,但这并不适用于此:他们只需要从localhost浏览网站。
  • 同样,Cross-Site Scripting攻击可用于强制管理员从localhost浏览以向API服务发出请求。这假设有一个Web应用程序组件,而不仅仅是一个REST API,例如。
相关问题
最新问题