除了通过其 API 端点之外,还有其他方式进入后端吗?

Posted

技术标签:

【中文标题】除了通过其 API 端点之外,还有其他方式进入后端吗?【英文标题】:Is there anyway to enter a backend other than by its API endpoints? 【发布时间】:2016-02-28 11:23:16 【问题描述】:

假设我有一个后端只在一个 API 中公开一个端点

这个端点是我数据库的唯一“门”吗?

如果这个唯一的端点只接受一个参数作为 int,或者甚至更好,根本没有参数,我的数据库是否受到保护以免受所有类型的攻击?

如果它仍然容易受到攻击,请告诉我为什么/如何。

编辑 有人指出,这个问题太大了。所以更准确地说: 是否可以通过我的端点之一以任何其他方式进入我的数据库。

这是一个是或否的问题,如果可能的话,可能会提供一些额外的信息。

谢谢

【问题讨论】:

这是一个题外话问题。您可能会在security.stackexchange.com 找到更好的答案 【参考方案1】:

这是一个相当(太大)的问题。我会考虑:

保护您的端点:您确定在您的端点上进行任何形式的注入都是不可能的吗?如果我发送奇怪的东西,比如“”“;drop table ...”“””。另一个典型且非常常见的威胁是 DoS 攻击,其中您的端点被恶意请求淹没 保护您的机器:大主题,但这包括防火墙、安全更新、用于定义和管理谁可以以及如何连接到此服务器的安全策略。如果有人以 root 身份访问您的机器,他将可以访问您的数据库

【讨论】:

以上是关于除了通过其 API 端点之外,还有其他方式进入后端吗?的主要内容,如果未能解决你的问题,请参考以下文章

除了使用Elasticsearch恢复API以外,还有其他方法可以恢复Elasticsearch快照吗?

除了 API 之外,我应该为前端/后端使用两个单独的项目还是将它们合并为一个? [关闭]

除了通过 main 的 argv 之外,还有其他方法可以将用户参数传递给程序吗?

除了使用“extern”关键字:n3290 草案之外,还有其他可能证明这一点的方法吗

除了调用 indexPath 之外,还可以通过其他方法以编程方式在 tableView 中选择行

Terraform 未部署 api 网关阶段