user-avatar
احسان
2 سال پیش توسط احسان مطرح شد
3 پاسخ

امنیت درخواست های بین سرورها

با استفاده از متد get و پروتکل ssl
سایت 1 یک در خواست به سایت 2 میفرستد و سایت 2 بعد از پردازش جوابی رو به سایت 1 اعلام میکند.
آیا هکر ها میتوانند به این در خواستها دسترسی داشته باشند؟؟؟
مثلا فکر کنید از سایت 1 یک رشته به سایت 2 ارسال میشه و سایت 2 در جواب یک رشته به سایت 1 اعلام میکنه.
آیا هکرها میتونن به اون رشته دسترسی داشته باشند؟؟؟

گزینش سوالات
همه سوالات حل شده حل نشده بدون پاسخ
گفت و گو های مرتبط
امنیت در لاراول API
امنیت و سرعت در ajax یا liveware
انتخاب بهترین و سریع ترین زبان و فریومورک
امنیت درخواست های لایو وایر
امنیت در JWT
امنیت jwt
طراحی سایت مشابه بایننس
شناسایی دستگاه موبایل
سوال از سیستم افلاین با ری اکت
هاست مناسب برای ارتباط با اپلیکیشن اندروید
دسته ‌بندی سوالات
لاراول طراحی_وب جاوااسکریپت فریمورک_ها وردپرس امنیت Html_Css جاوا PHP فیدبک_سایت جی_کوئری تجربه_کاربری رابط_کاربری متفرقه اندروید پایتون nodejs vuejs آنگولار reactjs فلاتر سیستم__عامل_ها شبکه سخت_افزار عمومی سئو
تگ‌های محبوب
ثبت پرسش جدید
user-avatar
حسن حکمتی
تخصص : برنامه نویس وب و بلاکچین
@hekmati 2 سال پیش آپدیت شد
0

سلام
برای تامین امنیت علاوه بر دسترسی هکر ها باید نگران مواردی غیر از دسترسی هم باشید برای نمونه حمله در لایه هفتم. پس با این شرایط دایره تامین امنیت رو باید افزایش داد.یعنی موارد آسیب پذیری رو خارج از محدوده رعایت موارد امنیتی متد get و پروتکل ssl در نظر گرفت.
رعایت هر مورد امنیتی بخشی از ایمنی رو تامین میکنه مثلا قراردادن توکن میتونه از درگیر شدن سرور 2 نسبت به درخواست های جعلی تا حدود زیادی جلوگیری کنه. یا مثلا محدود کردن درخواست به آی پی های مشخص می تونه از ارتباط غیر مرتبط جلوگیری کنه.

ارسال پاسخ
user-avatar
احسان
@ehsanbala65 2 سال پیش مطرح شد
0

@hekmati با تشکر از پاسخ شما، خوب آی پی ک قابل جعل شدن هست
حتی توکن ک فرمودین هم لحاظ شده
تنها نگرانیم فقط اینه ک آیا میتونن ssl رو هک کنن و یا اینکه مسیر درخواست رو تغییر بدن.
مثلا وقتی از سرور 1 درخواستی برای سرور 2 ارسال میشه، آیا نفوذ گر میتونه اطلاعاتی ک داره رد و بدل میشه رو ببینه یا جایی اونا رو ذخیره کنه؟؟؟
الان دو هفته هست ک درگیر این قضیه هستم.

ارسال پاسخ
user-avatar
حسن حکمتی
تخصص : برنامه نویس وب و بلاکچین
@hekmati 2 سال پیش مطرح شد
0

خواهش میکنم @ehsanbala65
تنظیمات و تدابیر امنیتی باید در لایه های مختلفی انجام بشه بخشی از اون مربوط به سرور هست که باید توسط سیس ادمین یا متخصصش صورت بگیره اما در مورد لایه مربوط به کدنویسی، کاستومایز کردن تدابیر امنیتی شرایط بهتری رو ایجاد میکنه مثلا:
قاعده مقابله با شنود سوم در ssl وجود داره یعنی اطلاعات تبادل شده در سیستم رمزنگاری شده تا در برابر نفوذ و دسترسی به اطلاعات توسط هک استحکام پیدا کنه پس لازمه در فایل htaccess. تمام درخواست ها رو ریدایرکت کنید به https تا از این لایه گذر کنند.
در مورد توکن هم اگر بکند رو با لاراول نوشتید بهتره از sanctum استفاده کنید که بومی خود لاراول هست و بسیار ایمن و قدرتمند هست حتی برای جلوگیری از جعل هویت در موارد حساس مثل تغییر پسورد یا توکن های تایید درخواست برداشت یا تنظیمات g2fa می تونید از ابزار abilities سنکتوم استفاده کنید که فوق العاده است.
موارد دیگری مثل استخراج رمزنگاری مربوط به اطلاعات حساس در عمق بک اند باز به ایمنی سیستم کمک میکنه.
حتما در استفاده مناسب از متدها در جایگاه لازمش دقت کنید.
داده های حساس نباید در url قرار بگیرند حتما از Authorization استفاده بشه.
هیچ endpoint ی خارج از فرایند احراز هویت قرار نگرفته باشد.
تمام درخواست ها اعتبار سنجی شود.
تمام پاسخ ها با کمک ریسورسها کاستومایز شود و به هیچ عنوان اطلاعات امنیتی و اعتبار سنجی، توکن و پسورد و ... نباید برگشت داده شوند.
محدودیت تعداد درخواست ها لحاظ شود.
بخشی از موارد خارج از پرسش شما بود اما چون به بهبود امنیت کلی سیستم کمک می کرد جهت یادآوری عنوان کردم امیدوارم مفید واقع بشه.
بر اساس حساسیت پروژه می تونید موارد دیگری رو هم اضافه کنید.

ارسال پاسخ

برای ارسال پاسخ لازم است وارد شده یا ثبت‌نام کنید

ورود یا ثبت‌نام