3

我们有一个基于 java restapi webapplication ,我正在尝试对它进行渗透测试,并且我浏览了 restapi 的 owasp 安全表:

https://www.owasp.org/index.php/REST_Security_Cheat_Sheet#Security_headers

正如 owasp 建议的那样,“另外,客户端应该发送一个 X-Frame-Options:deny 以防止在旧浏览器中进行拖放点击劫持攻击。”但是,据我所知,服务器通常会发送这个 x-frame-options,不是客户,是 owasp 的错字失败吗?此外,对于 rest api 请求,如何利用点击劫持,因为在浏览器中看不到 restapi 调用!?

4

1 回答 1

2

OWASP 指南是一项社区工作。显然,该声明是在 2012 年左右引入的,请参见以下修订。这很可能是一个错字,因为服务器应该发送X-Frame-Options标头,而不是浏览器。

在经典的 REST API 中,技术上没有办法执行点击劫持。如果您提供HATEOAS API并以 HTML 格式输出,这可能是一个非常牵强的想法。

我想说的是继续关注其他安全方面,例如身份验证、授权和敏感数据泄露。尝试在准则之外进行思考。一旦我发现一个 API 也以 base64 格式返回用户密码,就不那么聪明了……

于 2018-12-18T09:22:33.537 回答