Turvaanalüüs - Ramneli/epsilon-school GitHub Wiki

Hetkeseis

URLi kaudu ei saa SQL injectionit teha, saadame andmeid JSONiga. Sisestades mistahes URLi laetakse HomeComponent, mis kuvab pealehe.

@PostMapping("/save") public void saveSettings(@RequestBody Settings settings) { this.settingsService.saveUserSettings(settings); }

Kasutajad ei saa otseselt (kasutades veebilehte) teiste kasutajate informatsioonile ligi. Küll aga saab hetkel ligi kasutades Postmani ja teades teise kasutaja Firebase uid'd ning front-endi ja back-endi vahel liikuvate JSONite väljasid.

XSS injection on blokeeritud. Saates serverile mingi skripti sisalduva kodutöö või aine loetakse see lihtsalt tekstiks. Näide:

Plaanis

• Kavatseme lisada tokenid POST requestidele kaasa, mis peaks eemaldama Postmaniga info sisestamise ohu.
• Lisame autentimise back-end poolele, et kasutajad saaks ainult enda identiteediga päringuid teha.