V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
873792861
V2EX  ›  程序员

终端监控脚本上传信息,后台有必要做 token 等验证么

  •  
  •   873792861 · 2022-09-18 13:50:15 +08:00 · 1770 次点击
    这是一个创建于 807 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题,有一些内网使用的自助终端(普通人进不了电脑桌面那种),作为运维人员,为了监控终端程序是否正常运行,打印机状态是否正常等,用 powershell 写了个脚本来上传状态信息以及上传前的界面截图。后台是自己用 flask 简单写的,都是接口,没有前端页面。 在这种情况下,flask 后台应对路由进行验证么?比如加 token 或者用户名密码之类的。我一直好奇,如果是纯接口,黑客能用工具扫描到对应路由和参数的吗?如果可以,大概原理是怎么样的呢?

    8 条回复    2022-09-19 21:50:41 +08:00
    PerFectTime
        1
    PerFectTime  
       2022-09-18 15:04:34 +08:00
    需要吧,你不能保证内网环境是完全安全的
    illl
        2
    illl  
       2022-09-18 15:16:19 +08:00 via iPhone
    fuzz 呗
    nielinjie
        3
    nielinjie  
       2022-09-18 17:41:15 +08:00
    现在流行零信任。
    pepesii
        4
    pepesii  
       2022-09-18 23:33:13 +08:00
    给开启 mtls 嘛,这样就完事了
    lazyfighter
        5
    lazyfighter  
       2022-09-19 09:05:53 +08:00
    其实我觉得没啥卵用,在怎么鉴权, 你的鉴权信息都在服务器上面
    Kinnice
        6
    Kinnice  
       2022-09-19 10:27:01 +08:00 via Android
    内置 ca
    jeeyong
        7
    jeeyong  
       2022-09-19 13:37:28 +08:00
    @nielinjie 受教了...我又学会了一个专业名词..
    可以去忽悠客户了
    873792861
        8
    873792861  
    OP
       2022-09-19 21:50:41 +08:00
    先用 Flask-HTTPAuth 但 basic 认证搞了下,这大概是自欺欺人吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1125 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 18:53 · PVG 02:53 · LAX 10:53 · JFK 13:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.