Question

У меня есть веб-сервис, который предоставляет пользователям возможность регистрировать веб-хуки с защищенными URL-адресами (например, https://).. Я также рассматриваю возможность поддержки незащищенных URL-адресов для регистрации (например, самозаверяющих сертификатов).

Будет ли моя служба подвержена каким-либо уязвимостям безопасности, если я позволю пользователям регистрировать незащищенные URL-адреса? Я знаю, что пользователь, регистрирующий незащищенный URL-адрес, будет открыт, но будет ли мой сервис каким-либо образом показан?

Michael Wyraz · Answer 1 · 19 апреля 2019

Краткий ответ: Нет

Объяснение: Ваш сервис вызывает сторонний URL, который не находится под вашим контролем. Поэтому для вас не имеет значения, зашифрована ли связь с этим URL или нет. С вашей точки зрения, оба типа URL не следует доверять (т. Е. Вы не должны выполнять полезную нагрузку ответа).

Изменить: напомнить, чтобы осуществить это тщательно. В частности, пропускайте проверку SSL только для конкретной веб-ловушки, которую вы вызываете, а не для всего приложения.

Регистрация веб-хоков с незащищенными URL

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Регистрация веб-хоков с незащищенными URL

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы