来源:开放服务
在基于 的应用环境中,业务的入口点是调用后端服务器的大量 。由于入口点数量众多且通常分布在不同的地理位置,因此在服务器前面安装 已不足以确保所有入口点都受到保护。此外,传统的基于 的解决方案无法区分受感染的 调用和合法的 流量。
这种有限的视角越来越重要,因为在 环境中,客户端使用原始数据, 公开应用程序的底层实现,并且每个 请求中发送更多参数(对象 、过滤器)。
最后,已知的、预定义的漏洞并不是基于 的应用程 柬埔寨电话号码数据 序中最大的担忧来源。相反,为了提供足够的保护, 安全需求 专注于可以识别、理解和减轻 独有的漏洞和安全风险的策略和解决方案。
安全十大项目
这些新的基于 的挑战促使 创建一个单独的 致力于 安全的项目。 安全 项目专门关注 安全中的十大漏洞,并认识到:
在应用程序架构以及应用程序安全中发挥着至关重要的作用
以下是 安全性十大要点及其简要说明。
损坏的对象级授权
攻击者在 调用中将自己资源的 替换为属于其他用户的资源的 。由于缺乏适当的授权检查,攻击者可以访问指定资源。这种攻击也称为 (不安全的直接对象引用),是最常见的 攻击形式。
年用户身份验证失效
身份验证机制通常实施不当,导致攻击者能够破坏身份验证令牌,并损害系统识别客户端用户的能力,从而损害整个 安全性。
过度数据暴露
可能会暴露比客户端合法需要更多的数据,依靠客户端界面进行过滤。如果攻击者直接访问 ,他们就可以访问所有数据。