2011-08-12 67 views
0

承擔訂購應用程序,用戶「奔」將能夠通過發行寧靜的API ..會話安全

列出特定的順序

/順序/ 1

現在..這樣做,我已經認證之前「本」(用戶名/密碼認證)並將用戶名作爲cookie發送(使用sha1校驗和簽名)。

每個HTTP請求我收到,告訴我該cookie

「趣」通過身份認證,但誰又能從發行

/順序/ 23

其中以便與ID = 23不屬於阻止他到「本」。

所以我想我應該寫一些邏輯,以確保訂單23實際上屬於「本」......是這種情況的最佳做法或模式?

我應該使用一個單獨的「功能主鍵」,而不是一個串行主鍵ID?

+0

呃..我一直在自己研究它。它與特權升級有關,並在[link](http://www.lulu.com/product/download/owasp-ruby-on-rails-security-guide/4489819)中有介紹......但我一直在研究 – Lance

+0

也是a4在owasp前10名單[OWASP](https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project) – Lance

+0

或[link](http://stackoverflow.com/questions/6382900/playframework- OWASP-頂-10) – Lance

回答

0

我沒有看到訂單的任何合理的自然主鍵。爲了讓它更容易被發現,你可以使用UUID(很小的機會偶然發現/訂單/ 4886ed80-dd71-11e0-9572-0800200c9a66)...

但是這將是安全的默默無聞。即使我無法猜測訂單的UUID,我也可以嗅探到您的流量,如果安全性只能通過不明確的URL提供,我將能夠根據訂單資源執行任何操作。

這應該說明你不能在這種情況下跳過驗證。