【问题标题】:what's the security risks of unauthenticated laravel event broadcasting未经身份验证的 laravel 事件广播的安全风险是什么
【发布时间】:2018-05-05 09:26:50
【问题描述】:

我需要知道在Laravel 中使用未经授权的事件广播有哪些安全风险。

我将angular-js 用于我的front-endLaravel 作为back-end API,我打算使用Laravel 事件广播(socket.io + redis),我想知道那里如果我在未经身份验证的情况下向前端广播不重要的公共数据,是否存在任何安全风险?

提前致谢。

【问题讨论】:

    标签: php security laravel-5 socket.io broadcasting


    【解决方案1】:

    我认为范式与传统的 Web 应用程序或 API 没有任何不同。存在同样的问题,它与套接字无关。您的架构现在混合了 socket.io/nodeJS 的事实只是意味着身份验证涉及更多。当您从使用文件系统和单个服务器进行会话转移到服务器池并说 memcached 或用于会话的数据库时,它改变了处理身份验证的方式,而不是对它的需要。因此,在某些方面,您感觉就像是在请求允许以逃避这一点:)

    真的,虽然只有您可以说您的应用程序是否需要它。如果就像您说的那样,不重要且公开...您是否可能需要身份验证才能在传统 Web 应用程序中的站点页面上查看它?你只是懒惰吗?

    1) 滥用。我可以修改请求以迭代某些 ID 以获取任何有用的信息吗?

    2) 错失良机。 Node 后端会增长吗?在某些时候,您会后悔没有可用的经过身份验证的用户吗?

    3) 拒绝服务。我可以提出高成本请求并耗尽资源吗?

    我可能还缺少其他人。只是我的两分钱。稍后我将尝试就您的问题提供一个示例,Authorization for laravel passport through socket.io for broadcasting channels

    【讨论】:

    • 我明白你的意思,我现在持有开发以找到合适的安全解决方案,但正如你所说,如果你能为我的另一个问题提供一个合适的例子,我将不胜感激.
    猜你喜欢
    • 2012-09-24
    • 2020-08-01
    • 2011-12-16
    • 2021-02-21
    • 1970-01-01
    • 1970-01-01
    • 2010-11-13
    • 2023-03-10
    • 2018-07-14
    相关资源
    最近更新 更多