客户端保护令牌漏洞循环困境
作者:sabri mahmoud 提问时间:10/26/2023
很抱歉,这个问题需要很长,这样你才能理解问题,这绝对是相对于我的问题的大小,我正在寻求网络安全专家的意见,所以提前感谢您抽出时间。 I) 背景 我的问题与 Google Analytics 的相同...
api-security 问答列表
Stripe 数据安全
作者:john bowlee 提问时间:9/16/2022
我目前正在我的项目中实现 Stripe,我对发送到前端的数据有很大的疑问。 例如,如果我将payment_method_id发送到正面,或者如果我暴露subscription_id或invoice_i...
如何在SAP hybris中加密和解密所有API请求和响应?
作者:pradeep murugan 提问时间:11/5/2022
我有一个安全要求,即所有通过 API 的数据流都应该加密。我没有看到任何 OOTB 实现。因此,我考虑过使用过滤器进行解密,并使用自定义清理器进行加密,这听起来像是一个计划,但是还有其他方法可以实现这...
SubscriptionKey在 Azure API 管理中对不需要订阅的产品中的终结点无效?
作者:Sam Vanhoutte 提问时间:12/17/2022
我在 Azure API 管理方面遇到了一个非常奇怪的问题,我似乎没有弄清楚...... 我们有一个 API 操作,它是 APIM API 的一部分,该 API 与不需要订阅的产品链接。其目的是使此...
如何在 Flutter 中保护我的 RESR API 调用?
作者:Hamza Ahmed 提问时间:12/17/2022
我正在 flutter 中开发一个应用程序,它将在应用程序内购买。我正在跟踪节点服务器上的用户积分和其他一些东西。 我担心如果我调用我的节点 api 来增加我的应用代码中的用户积分,可以通过反编译 ...
服务器/X-Powered-By 标头在运行时不可用
作者:sprash95 提问时间:3/14/2023
“Server”和“X-Powered-By”标头在运行时(或调试)期间不出现在 API 响应中,而仅出现在 Postman/浏览器上。 我的目标是删除到 Server/powered-by 标头,但...
防止从不同设备发送请求
作者:Eltac Shikhsaidov 提问时间:5/15/2023
我有一个带有登录端点的Spring Boot项目,该项目会生成用于访问其他端点的令牌。当用户从特定设备(浏览器或应用程序)登录时,我想添加一项安全措施,以防止生成的令牌在其他设备上使用。换言之,令牌应...
在解码原始JSON之前如何进行验证?
作者:Naveen Santhanavel 提问时间:8/9/2023
我们正在用 PHP (Hacklang) 构建一个 API 框架,并将使用 OPIS 中的 json-schema 来实现对请求正文中 JSON 输入的验证。 OWASP建议对数值参数的最小值和最大...
增强 ASP.NET 核心 Web API 未经授权获取终结点的安全性
作者:Mihir Shah 提问时间:8/17/2023
我有一个网络(管理面板)和另一个是另一个域的前端站点的情况。现在我想提供“模拟”功能,晚餐管理员可以获得其公司用户的访问权限并访问整个站点(前端网站)。现在端点是未经授权的 GET 端点,如何增强 A...