Есть ли способы защиты get запроса на Python/Requests?

Question

lil.fxrrx @mxrdxfxrrx

flstudio20, py3.x

Информационная безопасность

Есть ли способы защиты get запроса на Python/Requests?

Есть ли способ защитить get запрос от подмены через вспомогательные средства?

Вопрос задан более двух лет назад
236 просмотров

4 комментария

Подписаться 1 Простой 4 комментария

shurshur @shurshur

Если речь о том, может ли пользователь сформировать произвольный запрос, то да, может. Защититься от этого невозможно. Но можно бороться с последствиями, защищая сервер от выполнения недостоверных запросов, на которые у клиента нет прав, которые не соответствуют ограничениям целостности итд итп.

Это вопрос как проектирования архитектуры, структуры API-вызовов, так и внедрения проверок и ограничений на сервере, проверки правомочности операций, реализации какой-либо системы авторизации и аутентификации (сейчас модно использовать jwt-токены). Нельзя дать однозначный ответ, как лучше. Очень сильно зависит от задачи и требований.

Написано более двух лет назад
ThunderCat @ThunderCat

через вспомогательные средства?
Костыли чтоле? Можно как-то пояснить мысль, а то звучит страшно, очень страшно, мы не знаем что это такое, если бы мы знали что это такое, мы не знаем что это такое... О.о

Написано более двух лет назад
lil.fxrrx @mxrdxfxrrx Автор вопроса

ThunderCat, в плане код делает запрос на определенный url или берет определенные данные. пользователь берет туннель запроса и через разные по меняет этот запрос на свой, дабы код выдал что да всё верно

Написано более двух лет назад
h4r7w3l1 @h4r7w3l1

lil.fxrrx, данный вопрос решается разделами data filtering, авторизацией с политиками и тд. изучайте свой фреймворк - обязательно будет раздел на эту тему.

Существует атака host header injection, которая возникает чаще при не корректной настройки веб сервера реализующий обратный прокси. (и конечно же там где по какой-то причине разработчик решил использовать директиву host полученную из заголовка принятого реквеста)
Стоит знать и помнить, что заголовки принимаемых запросов эта тот же пользовательский ввод который по умолчанию не доверителен, и требует повышенного внимания.

Написано более двух лет назад

Помогут разобраться в теме Все курсы

Нетология

Специалист по информационной безопасности + нейросети

12 месяцев

Далее
Skillbox

Профессия Специалист по информационной безопасности

12 месяцев

Далее
ProductStar

Профессия Инженер информационной безопасности с нуля

12 месяцев

Далее

Решения вопроса 1

Комментировать

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

WordPress

+1 ещё

Простой
WordPress. Плагин Wordfence Security сообщает, что код подозрительный. Почему ругается плагин?
- 2 подписчика
- 10 дек.
- 102 просмотра
1

ответ
Windows

+1 ещё

Простой
Что за скрипт от Яндекса на новом ноутбуке?
- 3 подписчика
- 10 дек.
- 588 просмотров
4

ответа
Информационная безопасность

+1 ещё

Простой
Подозрительный процесс crowsd в legacy-системе — что это может быть?
- 4 подписчика
- 10 дек.
- 199 просмотров
2

ответа
Информационная безопасность

Простой
Javascript, подгружаемый с servicepipe.ru, похоже сканирует локалхост. Зачем?
- 2 подписчика
- 25 нояб.
- 286 просмотров
2

ответа
Информационная безопасность

+3 ещё

Простой
Чем опасно держать свой публичный почтовый сервис?
- 3 подписчика
- 20 нояб.
- 816 просмотров
4

ответа
Информационная безопасность

Средний
Как проверяете приватные репозитории?
- 1 подписчик
- 19 нояб.
- 332 просмотра
3

ответа
Информационная безопасность

+1 ещё

Простой
IDE Jetbrains обнаружила троян в пакете chalk, что делать в такой ситуации?
- 2 подписчика
- 05 нояб.
- 414 просмотров
1

ответ
Информационная безопасность

Простой
С чего можно начать самостоятельное обучение белому хакингу?
- 2 подписчика
- 02 нояб.
- 382 просмотра
2

ответа
Информационная безопасность

+1 ещё

Простой
Как защитить Whatsapp?
- 3 подписчика
- 30 окт.
- 509 просмотров
1

ответ
Информационная безопасность

+1 ещё

Средний
У всех плохо работают HackTheBox и TryHackMe?
- 4 подписчика
- 29 окт.
- 406 просмотров
1

ответ
Показать ещё Загружается…

Маркетинговый аналитик

МТС Web Services • Грозный

от 60 000 ₽

Senior Frontend / Product Engineer (Tauri + Vue) — Solo Role

Poker Training

от 250 000 до 300 000 ₽

Senior DWH Analyst

Анвио Парк

от 200 000 до 300 000 ₽

Если речь о том, может ли пользователь сформировать произвольный запрос, то да, может. Защититься от этого невозможно. Но можно бороться с последствиями, защищая сервер от выполнения недостоверных запросов, на которые у клиента нет прав, которые не соответствуют ограничениям целостности итд итп.

Это вопрос как проектирования архитектуры, структуры API-вызовов, так и внедрения проверок и ограничений на сервере, проверки правомочности операций, реализации какой-либо системы авторизации и аутентификации (сейчас модно использовать jwt-токены). Нельзя дать однозначный ответ, как лучше. Очень сильно зависит от задачи и требований.
через вспомогательные средства?
Костыли чтоле? Можно как-то пояснить мысль, а то звучит страшно, очень страшно, мы не знаем что это такое, если бы мы знали что это такое, мы не знаем что это такое... О.о
ThunderCat, в плане код делает запрос на определенный url или берет определенные данные. пользователь берет туннель запроса и через разные по меняет этот запрос на свой, дабы код выдал что да всё верно
lil.fxrrx, данный вопрос решается разделами data filtering, авторизацией с политиками и тд. изучайте свой фреймворк - обязательно будет раздел на эту тему.

Существует атака host header injection, которая возникает чаще при не корректной настройки веб сервера реализующий обратный прокси. (и конечно же там где по какой-то причине разработчик решил использовать директиву host полученную из заголовка принятого реквеста)
Стоит знать и помнить, что заголовки принимаемых запросов эта тот же пользовательский ввод который по умолчанию не доверителен, и требует повышенного внимания.

Answer 1 · 2023-01-15 15:51:00

пользователь берет туннель запроса и через разные по меняет этот запрос на свой, дабы код выдал что да всё верно

Это называется атака man in the middle, обычно от нее защищаются например сертификатом, но есть нюансы. Информации много, читайте, в один ответ все не уместить.

Answer 2 · 2023-01-14 19:11:38

Dimonchik @dimonchik2013

non progredi est regredi

сертификат

Ответ написан более двух лет назад

Комментировать

Есть ли способы защиты get запроса на Python/Requests?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт