Rest 将版本4 UUID用作路径参数时存在安全漏洞
我们正在开发RESTAPI,其中一个路径参数是版本4中的用户uuid。此漏洞是否可以解释url漏洞中通过查询字符串暴露的信息,如中所述 我在一些博客上读到,就安全漏洞而言,版本4 UUID是安全的Rest 将版本4 UUID用作路径参数时存在安全漏洞,rest,security,uuid,Rest,Security,Uuid,我们正在开发RESTAPI,其中一个路径参数是版本4中的用户uuid。此漏洞是否可以解释url漏洞中通过查询字符串暴露的信息,如中所述 我在一些博客上读到,就安全漏洞而言,版本4 UUID是安全的 有人能解释一下上述理解吗?是随机的。它们不包含有关系统的任何信息。只要随机性来自一个好的来源,它们就是安全的。这取决于语义。在url中发送任意uuid完全可以,为什么不可以呢?这只是一堆随机数 然而,如果uuid恰好是会话id、csrf令牌或任何以任何方式敏感的东西,那么这就是一个问题。不是因为uui
有人能解释一下上述理解吗?是随机的。它们不包含有关系统的任何信息。只要随机性来自一个好的来源,它们就是安全的。这取决于语义。在url中发送任意uuid完全可以,为什么不可以呢?这只是一堆随机数
然而,如果uuid恰好是会话id、csrf令牌或任何以任何方式敏感的东西,那么这就是一个问题。不是因为uuid,url中的任何敏感数据都是一个漏洞,因为url会缓存在浏览器中,登录到代理和服务器本身,等等。因此,您不想在url中发送任何对攻击者有价值的信息,而加密随机uuid听起来非常敏感,否则为什么会有它?如果uuid是敏感数据,则此漏洞适用。如果它不是敏感数据,那么它就不是。下一个明显的问题是什么被定义为敏感数据,从IT安全的角度来看,我找不到一个很好的参考,尽管这很有帮助