Найбільш тупим, як на мене, є випадок, коли на сервері відсутні обмеження доступу (CORS) до важливих систем. Приклад з недавнього: є сайт, який безкоштовно надає доступ до моделі, але в межах певного ліміту. Проте цей ліміт встановлено лише на фронтенді. Я просто скопіював запит і відправив новий, але вже з даними, що перевищують ліміти, і отримав коректну відповідь. Прикол у тому, що тепер у мене є доступ до моделі в більшому обсязі, ніж у платній версії. Якби були налаштовані CORS або якісь інші обмеження на сервері, такого б не сталося. Не знаю, як правильно називається цей тип "взлому", і чи це взагалі взлом
Привіт! Те, що ти описуєш, можна назвати вразливістю типу "обхід обмежень на рівні клієнта" або "обхід клієнтських обмежень". Це не зовсім "взлом" у традиційному сенсі, але це певно використання помилки безпеки, оскільки ти обійшов обмеження, які встановлені лише на фронтенді.
@@IvanPetrov-b8n Привіт, є декілька способів, я б виділив 3 основні: 1. Rate Limiting: Встановіть обмеження на кількість запитів, які можуть бути зроблені з однієї IP-адреси за певний проміжок часу. Після досягнення ліміту можна кидати 429 статус - to many requests 2. IP Blocking/Blacklisting: Виявляйте та блокуйте підозрілі IP-адреси, які надсилають надмірну кількість запитів або мають схожі шаблони поведінки. 3. Captcha Verification: Впровадьте CAPTCHA для підтвердження, що запити надсилає реальна людина. Можна використовувати щось типу google captcha v3
Дуже цікаво, прошу більше інфи про веб бруд та веб гігену, але більше про веб бруд :)
Найбільш тупим, як на мене, є випадок, коли на сервері відсутні обмеження доступу (CORS) до важливих систем. Приклад з недавнього: є сайт, який безкоштовно надає доступ до моделі, але в межах певного ліміту. Проте цей ліміт встановлено лише на фронтенді. Я просто скопіював запит і відправив новий, але вже з даними, що перевищують ліміти, і отримав коректну відповідь. Прикол у тому, що тепер у мене є доступ до моделі в більшому обсязі, ніж у платній версії. Якби були налаштовані CORS або якісь інші обмеження на сервері, такого б не сталося. Не знаю, як правильно називається цей тип "взлому", і чи це взагалі взлом
Привіт!
Те, що ти описуєш, можна назвати вразливістю типу "обхід обмежень на рівні клієнта" або "обхід клієнтських обмежень". Це не зовсім "взлом" у традиційному сенсі, але це певно використання помилки безпеки, оскільки ти обійшов обмеження, які встановлені лише на фронтенді.
що робити з флудом з кількох IP одночасно ? багато запитів на одну й ту саму сторінку пошук з різних IP
@@IvanPetrov-b8n Привіт, є декілька способів, я б виділив 3 основні:
1. Rate Limiting: Встановіть обмеження на кількість запитів, які можуть бути зроблені з однієї IP-адреси за певний проміжок часу. Після досягнення ліміту можна кидати 429 статус - to many requests
2. IP Blocking/Blacklisting: Виявляйте та блокуйте підозрілі IP-адреси, які надсилають надмірну кількість запитів або мають схожі шаблони поведінки.
3. Captcha Verification: Впровадьте CAPTCHA для підтвердження, що запити надсилає реальна людина. Можна використовувати щось типу google captcha v3