서버 측 보안

Question

오픈 소스 Android 프로젝트의 일부로 Amazon EC2 위에 cherrypy를 실행하는 매우 간단한 웹 서버가 있습니다. 우리는 사진 촬영 구성 요소를 응용 프로그램에 통합 할 생각입니다. 이 데이터는 서버에 저장되어 다른 클라이언트에게 제공됩니다.

이 시점에서 응용 프로그램은 익명입니다. 정보를 게시하려면 로그인 할 필요가 없습니다. 응용 프로그램이 트롤링되기 때문에 지속적으로 사진을 찍는 자신을 발견 할 가능성이 있습니까? 또는 이런 종류의 상황을 처리하기위한 메커니즘에 의존 할 수 있습니까? 나는 이런 것을 결코 구현하지 못했고, 나는 무엇을 기대해야할지 모른다.

저는 그런 서비스를 만든 사람의 의견을 듣고 싶습니다. 그리고 이런 서비스를 대중에게 공개하는 것이 무엇인지에 대한 아이디어가 있습니다.

Answer 1

인증없이 이미지를 업로드하고 공유 할 수있는 인터넷 종단점을 노출하는 경우 문제가 발생할 가능성이 큽니다. 사실, 인증이 필요한 경우에도 문제가 발생할 수 있습니다.

적어도 응용 프로그램 수준에서는 인증 양식이 필요합니다. 사용자가 정말로 다루지 않기를 바란다면 업로드 된 이미지를 식별 할 수있는 GUID 등을 생성 할 수 있습니다. 공격자 입장에서는 쉽게 패할 수 있지만 스팸 사용자로 간주되는 경우 단일 '사용자'업로드를 삭제하는 데 사용할 항목이 있습니다.

또한 사용자가 짧은 시간에 많은 양의 이미지를 업로드하지 못하도록 일부 속도 제한을 구현할 수도 있습니다. 또한 이미지를 본 횟수를 제한 할 수 있습니다.

기본적으로 스패머/공격자라고 생각하십시오. 스팸 캠페인에서 사용할 수있는 이미지를 업로드하는 데 서비스를 사용할 수 있습니까? 사용자를 스팸 메일로 사용할 수 있습니까? 대답이 '예'인 경우에는 그에 대한 보호가 필요합니다.