Inqanaba leZinto eziPhukileyo Ugunyaziso olunemizekelo

Kule posi sivavanya kwaye sixoxe ngokungaphumeleli koGunyaziso lweNqanaba leNjongo.

Siza kuqala ngokuchaza ukuba yintoni into eyophukileyo yokugunyaziswa kwento. Emva koko siya kuhamba ngokuhlaselwa sichaza izinto ezinobungozi ezinxulumene noko.

Emva koko siza kujonga ezinye zeempembelelo zokuba sesichengeni ngaphambi kokuba ekugqibeleni sijonge kukhuseleko oluqhelekileyo.




Yintoni iNqanaba lesiGunyaziso soGunyaziso

Ngamafutshane, olu hlobo lokuhlaselwa luthetha ukuba isigunyaziso esisetyenzisiweyo kwidatha asenziwa njengoko kufanelekile. Oku kukhokelela ekubeni ukufikelela kunikezelwe kwizixhobo kunye nedatha xa bekungafanelekanga.

Inqanaba lezinto ezaphukileyo eligunyazisiweyo kwixesha elidlulileyo laziwa njenge-Revenue Direct Direct Reference Reference (IDOR).


Xa sithetha igama into kugunyaziso lweNqanaba leNjongo ePhukileyo, into esiyithethayo lixabiso okanye iqela lamaxabiso. Into inokuba yindawo yemidiya yoluntu enombhali, umxholo kunye nomhla weposti.

Ugunyaziso konke malunga nokuba umsebenzisi uvunyelwe ukufikelela phi. Ke ngoko, sithetha ngomsebenzisi osele engenile.

Xa umsebenzisi esenza isicelo kwi-API, isicelo sisetyenziselwa ukufikelela kwizinto. Le yinqaku ekufuneka kwenziwe isigqibo malunga nokugunyaziswa. Umsebenzisi kufuneka abe nakho ukufikelela kwizinto abanikwe ukufikelela kuzo. Esi sigunyaziso sisebenza ngokuchanekileyo.


Xa ukugunyaziswa kwaphuliwe, abasebenzisi bavunyelwe ukuba bafikelele kwidatha kunye nezixhobo ekungafunekiyo ukuba bavunyelwe kuzo.

I-API iququzelela imisebenzi eyahlukeneyo kwizinto. Singafumana, senze, sihlaziye okanye sicime izinto.

Ukunxibelelana nento yinto yonke ye-API, ke ukuba ulawulo logunyaziso olujikeleze ezo zinto lwaphukile, emva koko sinobungozi bokuFikelela kwinqanaba leNjongo.



Ukuxhaphaza iNqanaba leNjongo yokuPhuhla kuKhuseleko

Ngokuqhelekileyo kulula ukuxhaphaza obu bungozi xa sele ufumanekile. Konke umhlaseli ekufuneka ekwenzile kukutshintsha isazisi kwisicelo kwaye banakho ukufikelela kwizinto ezingafanelekanga ukuba bavunyelwe kuzo.


Makhe sibone kumzekelo.

Apha, sine-URL esetyenziselwa ukubiza i-API:

https://myemail.com/messages/12345

Le fowuni ye-API isetyenziselwa ukufumana imiyalezo yabucala yomsebenzisi. Oovimba abasetyenziswayo ngu imiyalezo .

Umyalezo yinto esijongise kuyo kwiNqanaba lokuGunyaziswa kweNqanaba eliPhukileyo. Ukucinga ukuba imiyalezo yabucala inokufundwa kuphela ngumntu ekujoliswe kuye.


Okulandelayo, sinomazisi womyalezo 12345. Le yinxalenye ebalulekileyo yomhlaseli.

I-id ixelela inkonzo ekufuneka ibuyile. I-API ifumana irekhodi kwivenkile yedatha kwaye iyibuyise kwimpendulo.

Ngoku kwenzeka ntoni xa sitshintsha i-id ukusuka 12345 ukuya 12346? Umzekelo:

https://myemail.com/messages/12346

Ukuba umyalezo nge-id 12346 yayenzelwe umsebenzisi wethu, kuya kufuneka sikwazi ukuyifumana kwakhona.


Kodwa ukuba umyalezo ngowomnye umsebenzisi, i-API akufuneki iwubuyise. Ukuba sikwazile ukuwufumana umyalezo, emva koko sineLinqanaba eliPhukileyo lokuGunyazisa iNjongo yokuGunyazisa.

Omnye umzekelo kukuthumela POST isicelo sokuhlaziya izixhobo. Singadlala sijikeleze i-id kwi-JSON yokulayisha:

{
'userId': '12345678',
'oldPassword': 'My_0ld_Pa$$',
'newPassword': '$uperS3CurE' }

Ukuba besinokubeka nayiphi na into enokubakho userId Kwisicelo kwaye sikwazi ukuhlaziya ezinye iinkcukacha zomsebenzisi, emva koko sinengxaki enkulu.

Impembelelo kwezobuchwephesha

Nje ukuba sazi ukuba kukho umngcipheko, sinokubusebenzisa ngeendlela zonke. Njengoko bekutshiwo ngaphambili, singasebenzisa iindlela ezahlukeneyo ze-HTTP kwi-API. Sinokusebenzisa i-Id ukuvuselela okanye ukucima imiyalezo!

Kwenzeka ntoni ukuba sikwazi ukulungisa zonke ii-Id? Singakwazi ukucima yonke imiyalezo egciniweyo. Yimpembelelo enkulu leyo.



Ukuba sesichengeni okuqhelekileyo

Oku kusemngciphekweni oqhelekileyo. Njengoko bekutshiwo ngaphambili, ii-API zisetyenziselwa ukufikelela kwizinto kwaye kwiimeko ezininzi sisebenzisa ii-Ids kwisicelo sokuchonga izixhobo. Umbuzo ngulo, ngaba kukho ukugunyazwa kokutshekishwa kwindawo yokufikelela?

Zimbini izizathu ikakhulu zokuba siphele sinobungozi bokuGunyaziswa kweNqanaba leKhowudi kwikhowudi.

Eyokuqala kukuba ulawulo lokhuseleko aluzange luphunyezwe. Ikhowudi ayibhalwanga ukwenza uvavanyo lokugunyazwa kwizicelo.

Isizathu sesibini yimpazamo yomntu. Abantu bayazenza iimpazamo. Umzekelo olungileyo uku-API ophatha zombini ubuntununtunu kwidatha engenabuthathaka. Ezinye izicelo kufuneka zibe nokuhlolwa kokugunyazwa kwaye ezinye akufuneki. Ke kunokuba lula ukuphoswa yitsheki xa ubhala ikhowudi.



Indlela yokujonga

Izixhobo ezizenzekelayo ngekhe zifumane olu hlobo lokuba sesichengeni njengoko zihlala zithatha ubuncinci bamandla obuchopho.

Kulula ukuba umntu abubone obu bungozi. Konke ekufuneka sikwenzile kukufumana isazisi esisetyenziselwa ukubuyisa izinto.

Qaphela ukuba isazisi sinokuba kwi-Url, kumzimba wesicelo okanye kwintloko.

Kananjalo kuya kufuneka sihlalutye kwaye sitolike impendulo ebuyayo ukubona ukuba kukho ubungozi okanye hayi.

Izixhobo

Sinokusebenzisa nasiphi na isixhobo esihlola izicelo zeHTTP kunye neempendulo. Ezinye zazo zezi:

  • Izixhobo zoPhuculo lukaGoogle
  • I-Burp Suite
  • Iposi

I-Burp Suite inokusetyenziselwa ukuzenzekelayo ezinye zezicelo.



Ukuzikhusela ngokuchasene neNqanaba loGunyaziso lweNqanaba

Sinezikhuselo ezimbini apha.

Ukuzikhusela kokuqala kukusebenzisa ii-Id ezingalindelekanga ezinje ngee-GUIDs . Xa sisebenzisa amanani alandelelanayo kwikhowudi, o.k.t. 12345, oku kuthetha ukuba ii-Ids ziqikelelwa kakhulu. Umhlaseli akadingi mzamo mkhulu wokuhamba ngamanani ukuze ufumane izinto.

Umzekelo we-GUID:

d3b773e6-3b44-4f5f-9813-c39844719fc4

Ii-GUIDs zinzima kwaye kunzima kakhulu ukuzithelekelela kwaye azilandelelani.

Ukhuselo olulandelayo kukuba nekhowudi ethile kuyo jonga ugunyaziso . Olu hlolisiso kaninzi alwenzeki.

Ukujonga ugunyaziso kufuneka kwenzeke nangaliphi na ixesha xa umsebenzisi ebonisa i-API ngaphakathi kwe-Id eza kusetyenziswa. Umgaqo osisiseko apha kukuba singaze siyithembe idatha umsebenzisi ayinika i-API.

I-Id eceliweyo kufuneka ihlolwe ukuqinisekisa ukuba umsebenzisi ugunyazisiwe ukufikelela kwinto leyo.

Olu hlolo lunokuba luhlaziyo nje lweekhowudi ngexesha lokuphuhliswa kwesoftware kunye / okanye ukukhangela okuzenzekelayo okujonga ukusilela kogunyaziso kuphuhliso lonke.



Isiphelo

Njengoko sibonile ukuGunyazwa kweNqanaba leNqaku eliPhukileyo kukuchaphazeleka okuqhelekileyo kwaye kulula ukubona nokuhlasela. Iimpembelelo ezinokubakho zinkulu.

Owona mthombo wolu buthathaka kukuthemba idatha edluliselwe kwi-API ngumthengi.

Inxalenye enkulu yokhuselo kukuqinisekisa ukuba asiyithembi loo datha. Ke kufuneka siqiniseke ukuba isigunyaziso sokukhangela sikhona.