API معمولاً به عنوان روشی برای تبادل داده بین نقاط پایانی کاربر و باطن برای دریافت محتوای مبتنی بر احراز هویت استفاده می شود. عدم امنیت اطلاعات با گنجاندن فیلدهای خام از پایگاههای داده سرور مانند شناسههای متوالی رویدادها، سفارشها و غیره برای مشاهده در طرحبندی صفحه وجود دارد، زیرا میتوان از آنها به عنوان منبع استخراج اطلاعات در مورد معیارهای مربوط به کسب و کار استفاده کرد. این مقاله بر روی رویکردهای تجزیه و تحلیل دادههای اعمال شده در زمینههای قابل مشاهده در پاسخهای API تمرکز دارد تا آسیبپذیریهای بالقوه چنین معماری و تحقیق در مورد روشهای پیشگیری از آن را نشان دهد.
معرفی
تمرکز بر امنیت زیرساخت در کانالهای ارتباطی بین مشتری و سرور، پیشرفتهای قابلتوجهی در فنآوریها و قوانین پیادهسازی شده برای جلوگیری از ایجاد، خراب کردن یا اصلاح دادههای ارسالی توسط متجاوزان و همچنین مسدود کردن توانایی آن برای دریافت در هر یک از انتها ایجاد کرد. با این وجود، مشکل اصلی، حتی با وجود تمام محدودیتهای اتخاذ شده، بدون تغییر باقی میماند – محتوایی که عمداً برای ارسال انتخاب شده است، ممکن است بدون هدف اولیه شامل آسیبپذیریهایی برای امنیت اطلاعات نیز باشد.
هدف این مقاله معرفی عدم امنیت پنهان در فیلدهای افزایش خودکار هنگام انتخاب آنها برای استفاده به عنوان شناسایی اصلی در برنامه های جلویی و…