除了通过其 API 端点之外,还有其他方式进入后端吗?
Posted
技术标签:
【中文标题】除了通过其 API 端点之外,还有其他方式进入后端吗?【英文标题】:Is there anyway to enter a backend other than by its API endpoints? 【发布时间】:2016-02-28 11:23:16 【问题描述】:假设我有一个后端只在一个 API 中公开一个端点
这个端点是我数据库的唯一“门”吗?
如果这个唯一的端点只接受一个参数作为 int,或者甚至更好,根本没有参数,我的数据库是否受到保护以免受所有类型的攻击?
如果它仍然容易受到攻击,请告诉我为什么/如何。
编辑 有人指出,这个问题太大了。所以更准确地说: 是否可以通过我的端点之一以任何其他方式进入我的数据库。
这是一个是或否的问题,如果可能的话,可能会提供一些额外的信息。
谢谢
【问题讨论】:
这是一个题外话问题。您可能会在security.stackexchange.com 找到更好的答案 【参考方案1】:这是一个相当(太大)的问题。我会考虑:
保护您的端点:您确定在您的端点上进行任何形式的注入都是不可能的吗?如果我发送奇怪的东西,比如“”“;drop table ...”“””。另一个典型且非常常见的威胁是 DoS 攻击,其中您的端点被恶意请求淹没 保护您的机器:大主题,但这包括防火墙、安全更新、用于定义和管理谁可以以及如何连接到此服务器的安全策略。如果有人以 root 身份访问您的机器,他将可以访问您的数据库【讨论】:
以上是关于除了通过其 API 端点之外,还有其他方式进入后端吗?的主要内容,如果未能解决你的问题,请参考以下文章
除了使用Elasticsearch恢复API以外,还有其他方法可以恢复Elasticsearch快照吗?
除了 API 之外,我应该为前端/后端使用两个单独的项目还是将它们合并为一个? [关闭]
除了通过 main 的 argv 之外,还有其他方法可以将用户参数传递给程序吗?
除了使用“extern”关键字:n3290 草案之外,还有其他可能证明这一点的方法吗