Есть ли способы защиты get запроса на Python/Requests?

Question

lil.fxrrx @mxrdxfxrrx

flstudio20, py3.x

Информационная безопасность

Есть ли способы защиты get запроса на Python/Requests?

Есть ли способ защитить get запрос от подмены через вспомогательные средства?

Вопрос задан более года назад
224 просмотра

4 комментария

Подписаться 1 Простой 4 комментария

shurshur @shurshur

Если речь о том, может ли пользователь сформировать произвольный запрос, то да, может. Защититься от этого невозможно. Но можно бороться с последствиями, защищая сервер от выполнения недостоверных запросов, на которые у клиента нет прав, которые не соответствуют ограничениям целостности итд итп.

Это вопрос как проектирования архитектуры, структуры API-вызовов, так и внедрения проверок и ограничений на сервере, проверки правомочности операций, реализации какой-либо системы авторизации и аутентификации (сейчас модно использовать jwt-токены). Нельзя дать однозначный ответ, как лучше. Очень сильно зависит от задачи и требований.

Написано более года назад
ThunderCat @ThunderCat

через вспомогательные средства?
Костыли чтоле? Можно как-то пояснить мысль, а то звучит страшно, очень страшно, мы не знаем что это такое, если бы мы знали что это такое, мы не знаем что это такое... О.о

Написано более года назад
lil.fxrrx @mxrdxfxrrx Автор вопроса

ThunderCat, в плане код делает запрос на определенный url или берет определенные данные. пользователь берет туннель запроса и через разные по меняет этот запрос на свой, дабы код выдал что да всё верно

Написано более года назад
h4r7w3l1 @h4r7w3l1

lil.fxrrx, данный вопрос решается разделами data filtering, авторизацией с политиками и тд. изучайте свой фреймворк - обязательно будет раздел на эту тему.

Существует атака host header injection, которая возникает чаще при не корректной настройки веб сервера реализующий обратный прокси. (и конечно же там где по какой-то причине разработчик решил использовать директиву host полученную из заголовка принятого реквеста)
Стоит знать и помнить, что заголовки принимаемых запросов эта тот же пользовательский ввод который по умолчанию не доверителен, и требует повышенного внимания.

Написано более года назад

Решения вопроса 1

Комментировать

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Информационная безопасность

+1 ещё

Простой
Публикация файлов в интернете только после утверждения ИБ. Что использовать?
- 1 подписчик
- 15 нояб.
- 89 просмотров
1

ответ
Linux

+1 ещё

Простой
Какой дистрибутив выбрать для инфбеза?
- 1 подписчик
- 15 нояб.
- 1204 просмотра
8

ответов
Информационная безопасность

Простой
Как мошенники делают на Госуслугах красную табличку «Кабинет занят, с ним работает оператор» и как этому противодействовать?
- 1 подписчик
- 14 нояб.
- 373 просмотра
2

ответа
Ubuntu

+2 ещё

Простой
Хакнули сервер, как избавиться от майнеров?
- 2 подписчика
- 04 нояб.
- 518 просмотров
2

ответа
Linux

+1 ещё

Средний
Как сделать Linux более безопасным?
- 2 подписчика
- 28 окт.
- 891 просмотр
6

ответов
Информационная безопасность

+1 ещё

Средний
Обеспечивает ли HTTPS полное шифрование и невозможность компрометации данных?
- 4 подписчика
- 26 окт.
- 4886 просмотров
8

ответов
Компьютерные сети

+2 ещё

Простой
Заблокированные сайты свободно открываются без VPN — почему?
- 1 подписчик
- 24 окт.
- 21701 просмотр
7

ответов
Информационная безопасность

+1 ещё

Простой
Я хочу разделить хостинг который я буду арендовать между мной и другим человеком. Это нормально?
- 1 подписчик
- 16 окт.
- 347 просмотров
1

ответ
iOS

+1 ещё

Средний
Какой корректный формат смс сообщения для определения в нем OTP кода?
- 1 подписчик
- 15 окт.
- 127 просмотров
2

ответа
Java

+3 ещё

Простой
Как обновить lastAccessedTime Spring Session (Redis) при доступе через OAuth2?
- 1 подписчик
- 07 окт.
- 38 просмотров
0

ответов
Показать ещё Загружается…

Специалист по управлению уязвимостями (информационная безопасность)

Гринатом • Москва

от 100 000 до 120 000 ₽

Руководитель направления информационной безопасности ОКИИ

Интер РАО – Управление сервисами • Санкт-Петербург

от 180 000 ₽

Старший специалист по информационной безопасности (аттестация ОИ)

Гринатом • Москва

До 120 000 ₽

Сверстать веб приложение на vue

24 нояб. 2024, в 19:46

1000 руб./в час

Стили/дизайн/верстка приложения на QT

24 нояб. 2024, в 19:43

30000 руб./за проект

SEO оптимизация мультиязычного сайта и вывод в топы

24 нояб. 2024, в 19:42

200000 руб./за проект

Если речь о том, может ли пользователь сформировать произвольный запрос, то да, может. Защититься от этого невозможно. Но можно бороться с последствиями, защищая сервер от выполнения недостоверных запросов, на которые у клиента нет прав, которые не соответствуют ограничениям целостности итд итп.

Это вопрос как проектирования архитектуры, структуры API-вызовов, так и внедрения проверок и ограничений на сервере, проверки правомочности операций, реализации какой-либо системы авторизации и аутентификации (сейчас модно использовать jwt-токены). Нельзя дать однозначный ответ, как лучше. Очень сильно зависит от задачи и требований.
через вспомогательные средства?
Костыли чтоле? Можно как-то пояснить мысль, а то звучит страшно, очень страшно, мы не знаем что это такое, если бы мы знали что это такое, мы не знаем что это такое... О.о
ThunderCat, в плане код делает запрос на определенный url или берет определенные данные. пользователь берет туннель запроса и через разные по меняет этот запрос на свой, дабы код выдал что да всё верно
lil.fxrrx, данный вопрос решается разделами data filtering, авторизацией с политиками и тд. изучайте свой фреймворк - обязательно будет раздел на эту тему.

Существует атака host header injection, которая возникает чаще при не корректной настройки веб сервера реализующий обратный прокси. (и конечно же там где по какой-то причине разработчик решил использовать директиву host полученную из заголовка принятого реквеста)
Стоит знать и помнить, что заголовки принимаемых запросов эта тот же пользовательский ввод который по умолчанию не доверителен, и требует повышенного внимания.

Answer 1 · 2023-01-15 15:51:00

пользователь берет туннель запроса и через разные по меняет этот запрос на свой, дабы код выдал что да всё верно

Это называется атака man in the middle, обычно от нее защищаются например сертификатом, но есть нюансы. Информации много, читайте, в один ответ все не уместить.

Answer 2 · 2023-01-14 19:11:38

Dimonchik @dimonchik2013

non progredi est regredi

сертификат

Ответ написан более года назад

Комментировать

Есть ли способы защиты get запроса на Python/Requests?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт