Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

Advance software eng > Vulnerabilità delle API > Flashcards

Vulnerabilità delle API Flashcards

1
Q

Perchè abbiamo problemi di vulnerabilità delle API

A

Oggi i client sempre più potenti, motivo per cui logica passa da server a client spesso
Certe volte client consumano dati raw che poi rielaborano

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Descrivi Broken object Level auth

A

Attacker può sostituire altro ID nell’Api al posto del proprio per poter acceder a dati altrui, manca anche un controllo delle autorizzazioni
Per evitare bisogna checkare utente non tramite ID api, ma tramite oggetti di sessione creati ad hoc

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Descrivi Broken authentication

A

Non vengono controllate autenticazioni e attacker può assumere identità di altri utenti
Per prevenire bisogna verificare tutti i possibili path, e assicurarsi che ci siano dovuti controlli

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Descrivi Dati eccessivamente esposti

A

Vengono inviati ai client dati raw
Inviare il minimo indispensabile ai client

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Descrivi Mancanza di risorse

A

Client possono inviare oggetti di qualunque dimensione o utilizzare qualunque amount di risorse
Limitare risorse concedute

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Descrivi Broken function level auth

A

Inseriamo livello di autenticazione nell’url dell’api
Non bisogna farci affidamento

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Descrivi Mass assignment

A

Prendere elementi da post e trasformarli in oggetti direttamente, attacker può guessarli guardando le get
Definisci per bene tipi accettati

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Descrivi Mal configurazione di API

A

Permette ad attackers di trovare problemi ed utilizzarli a proprio vantaggio
Effettuare adjustments per evitarli

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Descrivi Injections di codice

A

Per risolvere check dei campi

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Descrivi Assets management improprio

A

Attackers potrebbero trovare delle versioni non di produzione delle API e utilizzarle
Limitarne accesso

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Descrivi Logging e monitor insufficienti

A

Aggiungere logging e monitor

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Tipologie di scanning

A

Attivo cerca di penetrare sistema
Passivo cerca problemi del sistema

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Analisi dinamica del codice

A

Genera varie tipologie di input che triggerano max numero possibile di paths

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Tool per analisi dinamica

A

OWASP ZAP che permette di trovare vulnerabilità in running web apps, ZAP funziona come proxy tra client app e server.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Penetration Testing 101 cos’è?

A

Test diviso in 3 fasi:
1) esplorazione del sistema
2) attacco del sistema
3) report degli attacchi andati a buon fine

How well did you know this?
1
Not at all
2
3
4
5
Perfectly

Advance software eng (9 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions