除了通过其 API 端点之外，还有其他方式进入后端吗？

Posted 2023-02-19

【中文标题】除了通过其 API 端点之外，还有其他方式进入后端吗？

【英文标题】：Is there anyway to enter a backend other than by its API endpoints?

【发布时间】：2016-02-28 11:23:16

【问题描述】：

假设我有一个后端只在一个 API 中公开一个端点

这个端点是我数据库的唯一“门”吗？

如果这个唯一的端点只接受一个参数作为 int，或者甚至更好，根本没有参数，我的数据库是否受到保护以免受所有类型的攻击？

如果它仍然容易受到攻击，请告诉我为什么/如何。

编辑 有人指出，这个问题太大了。所以更准确地说： 是否可以通过我的端点之一以任何其他方式进入我的数据库。

这是一个是或否的问题，如果可能的话，可能会提供一些额外的信息。

谢谢

【问题讨论】：

这是一个题外话问题。您可能会在security.stackexchange.com

找到更好的答案

【参考方案1】：

这是一个相当（太大）的问题。我会考虑：

保护您的端点：您确定在您的端点上进行任何形式的注入都是不可能的吗？如果我发送奇怪的东西，比如“”“；drop table ...”“””。另一个典型且非常常见的威胁是 DoS 攻击，其中您的端点被恶意请求淹没 保护您的机器：大主题，但这包括防火墙、安全更新、用于定义和管理谁可以以及如何连接到此服务器的安全策略。如果有人以 root 身份访问您的机器，他将可以访问您的数据库