服务器端安全
问题描述:
作为开源Android项目的一部分,我有一个非常简单的Web服务器,在Amazon EC2上运行cherrypy。我们正在考虑将拍照组件集成到应用程序中。这些数据将存储在服务器上并提供给其他客户端。服务器端安全
此时,应用程序是匿名的 - 无需登录即可发布信息。我可能会发现自己经常拍下照片,因为应用程序正在被拖动?或者我可以依靠标记机制来处理这种情况?我从来没有实现过这样的事情,我不知道会发生什么。
我想听听任何人已经建立了这样的服务,并且对于向公众开放这样的服务有什么想法。
答
如果您公开端点允许上传和共享图像而无需身份验证的Internet,则可能会遇到问题。事实上,即使您需要身份验证,您也可能遇到问题。
我肯定会要求某种形式的身份验证,至少在应用程序级别。如果你真的不希望用户必须处理它,你可以生成一个GUID或者至少可以识别已经上传的图像。从攻击者的角度来看,这很容易被打败,但如果他们被视为垃圾邮件用户,它会给你一些用来删除单个“用户”上传的内容。
您也可以实施一些速率限制,以避免用户在短时间内上传大量图像。您还可以限制图片浏览次数。
基本上,像垃圾邮件发送者/攻击者那样思考。他们可以使用您的服务上传可用于垃圾邮件活动的图片吗?他们可以用它来发送垃圾邮件吗?如果答案是肯定的,那么你需要保护。
我想补充一点,你可以检查有关服务器端的图像的东西,以确保它们是一致的,而不是某种脚本... – lc2817 2011-11-18 20:54:39