RestAPI安全初探V0.01

什么是RestAPI

• 网络应用程序，分为前端和后端两个部分。当前的发展趋势，就是前端设备层出不穷（手机、平板、桌面电脑、其他专用设备......）。

RestAPI的关键元素

• HTTP动词：
  • GET（SELECT）：从服务器取出资源（一项或多项）。
  • POST（CREATE）：在服务器新建一个资源。
  • PUT（UPDATE）：在服务器更新资源（客户端提供改变后的完整资源）。
  • PATCH（UPDATE）：在服务器更新资源（客户端提供改变的属性）。
  • DELETE（DELETE）：从服务器删除资源。
• 路径（Endpoint）：路径中用v1，v2来表明的当前版本。

安全风险

• 对数据库增删改查操作，若没有合适的身份认证，易出现越权漏洞。
• 无防重放措施。
• 无恶意高频调用监控。
• 无防CSRF措施。
• 看response，依然可能有xss问题。
• 若返回值使用jsonp，则可能有json劫持问题。

参考资料

• http://www.ruanyifeng.com/blog/2014/05/restful_api.html