Есть ли способы защиты get запроса на Python/Requests?

Question

lil.fxrrx @mxrdxfxrrx

flstudio20, py3.x

Информационная безопасность

Есть ли способы защиты get запроса на Python/Requests?

Есть ли способ защитить get запрос от подмены через вспомогательные средства?

Вопрос задан более трёх лет назад
238 просмотров

4 комментария

Подписаться 1 Простой 4 комментария

shurshur @shurshur

Если речь о том, может ли пользователь сформировать произвольный запрос, то да, может. Защититься от этого невозможно. Но можно бороться с последствиями, защищая сервер от выполнения недостоверных запросов, на которые у клиента нет прав, которые не соответствуют ограничениям целостности итд итп.

Это вопрос как проектирования архитектуры, структуры API-вызовов, так и внедрения проверок и ограничений на сервере, проверки правомочности операций, реализации какой-либо системы авторизации и аутентификации (сейчас модно использовать jwt-токены). Нельзя дать однозначный ответ, как лучше. Очень сильно зависит от задачи и требований.

Написано более трёх лет назад
ThunderCat @ThunderCat

через вспомогательные средства?
Костыли чтоле? Можно как-то пояснить мысль, а то звучит страшно, очень страшно, мы не знаем что это такое, если бы мы знали что это такое, мы не знаем что это такое... О.о

Написано более трёх лет назад
lil.fxrrx @mxrdxfxrrx Автор вопроса

ThunderCat, в плане код делает запрос на определенный url или берет определенные данные. пользователь берет туннель запроса и через разные по меняет этот запрос на свой, дабы код выдал что да всё верно

Написано более трёх лет назад
h4r7w3l1 @h4r7w3l1

lil.fxrrx, данный вопрос решается разделами data filtering, авторизацией с политиками и тд. изучайте свой фреймворк - обязательно будет раздел на эту тему.

Существует атака host header injection, которая возникает чаще при не корректной настройки веб сервера реализующий обратный прокси. (и конечно же там где по какой-то причине разработчик решил использовать директиву host полученную из заголовка принятого реквеста)
Стоит знать и помнить, что заголовки принимаемых запросов эта тот же пользовательский ввод который по умолчанию не доверителен, и требует повышенного внимания.

Написано более трёх лет назад

Помогут разобраться в теме Все курсы

Нетология

Специалист по информационной безопасности + нейросети

12 месяцев

Далее
Академия Эдюсон

Специалист по кибербезопасности: тариф Базовый

5 месяцев

Далее
ProductStar × РБК

Профессия: Инженер по информационной безопасности + ИИ

9 месяцев

Далее

Решения вопроса 1

Комментировать

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Программное обеспечение и интернет-сервисы

+1 ещё

Простой
Какое программное обеспечение для этого надо использовать для передачи файлов с чувствительными данными?
- 1 подписчик
- 03 мая
- 254 просмотра
4

ответа
Информационная безопасность

+1 ещё

Средний
Можно ли найти автора отзыва на Яндекс?
- 1 подписчик
- 15 апр.
- 573 просмотра
4

ответа
Информационная безопасность

+1 ещё

Простой
Насколько безопасный процесс?
- 2 подписчика
- 31 мар.
- 507 просмотров
1

ответ
Информационная безопасность

+3 ещё

Простой
Как решить потенциальную угрозу информационной безопасности при переходе на VDI (ESXI) и тонкие клиенты?
- 2 подписчика
- 20 мар.
- 325 просмотров
6

ответов
Информационная безопасность

Простой
Сколько времени уйдет на брутфорс пароля из 67 символов?
- 2 подписчика
- 06 мар.
- 787 просмотров
5

ответов
Информационная безопасность

+1 ещё

Простой
Ошибка в команде для подбора перебора паролей Nmap?
- 2 подписчика
- 26 февр.
- 209 просмотров
2

ответа
Системное администрирование

+2 ещё

Простой
Возможна ли такая постоянная трансляция экрана сотрудников на работе?
- 3 подписчика
- 06 февр.
- 1183 просмотра
11

ответов
Информационная безопасность

+1 ещё

Простой
Можно ли выйти на данные о мошеннике, если он создал аккаунт на паспортные данные на гос.услугах, к которым теперь у меня есть доступ?
- 4 подписчика
- 03 февр.
- 1037 просмотров
5

ответов
IT-образование

+2 ещё

Простой
Где учиться кибербезопасноcти? Как и где искать работу? Насколько это востребованно?
- 4 подписчика
- 28 янв.
- 2568 просмотров
5

ответов
Windows

+1 ещё

Простой
Как обновлять windows 10 после октября 2025?
- 3 подписчика
- 27 янв.
- 1903 просмотра
6

ответов
Показать ещё Загружается…

Если речь о том, может ли пользователь сформировать произвольный запрос, то да, может. Защититься от этого невозможно. Но можно бороться с последствиями, защищая сервер от выполнения недостоверных запросов, на которые у клиента нет прав, которые не соответствуют ограничениям целостности итд итп.

Это вопрос как проектирования архитектуры, структуры API-вызовов, так и внедрения проверок и ограничений на сервере, проверки правомочности операций, реализации какой-либо системы авторизации и аутентификации (сейчас модно использовать jwt-токены). Нельзя дать однозначный ответ, как лучше. Очень сильно зависит от задачи и требований.
через вспомогательные средства?
Костыли чтоле? Можно как-то пояснить мысль, а то звучит страшно, очень страшно, мы не знаем что это такое, если бы мы знали что это такое, мы не знаем что это такое... О.о
ThunderCat, в плане код делает запрос на определенный url или берет определенные данные. пользователь берет туннель запроса и через разные по меняет этот запрос на свой, дабы код выдал что да всё верно
lil.fxrrx, данный вопрос решается разделами data filtering, авторизацией с политиками и тд. изучайте свой фреймворк - обязательно будет раздел на эту тему.

Существует атака host header injection, которая возникает чаще при не корректной настройки веб сервера реализующий обратный прокси. (и конечно же там где по какой-то причине разработчик решил использовать директиву host полученную из заголовка принятого реквеста)
Стоит знать и помнить, что заголовки принимаемых запросов эта тот же пользовательский ввод который по умолчанию не доверителен, и требует повышенного внимания.

Answer 1 · 2023-01-15 15:51:00

пользователь берет туннель запроса и через разные по меняет этот запрос на свой, дабы код выдал что да всё верно

Это называется атака man in the middle, обычно от нее защищаются например сертификатом, но есть нюансы. Информации много, читайте, в один ответ все не уместить.

Answer 2 · 2023-01-14 19:11:38

Dimonchik @dimonchik2013

non progredi est regredi

сертификат

Ответ написан более трёх лет назад

Комментировать

Есть ли способы защиты get запроса на Python/Requests?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт