parse-platform - Parse.com 应用程序上的拒绝服务攻击

Question

我正在编写一个小型 Web 应用程序，因为我正在学习使用 Parse.com 的功能。

自 application_id 和 javascript_key 都是公开的(如文档中所述)，这意味着任何人都可以自由运行如下代码段所示的代码:

function sendRequest(){

    var query = new Parse.Query(Parse.User);
    query.find({

        success: function(results) {
            console.log("Request sucessful");       
        },

        error: function(error) {
            console.log("Request error: " + error.code + " " + error.message);
        }
    });
}

setInterval(sendRequest, (1000 / hitsPerSecond));

我认为它很容易导致“DOS”攻击——任何愿意关闭这个应用程序的人只需要恢复公钥并发送大量请求。

编辑 帐户有请求/秒限制，免费计划从 30 开始，但使用这个简单的脚本可以使任何订阅计划饱和。

考虑到这是正确的 - 有什么好的做法吗？有什么可以申请的模式吗？

提前致谢，

Answer 1

是的，您的 Parse JavaScript 键是 公众号

它们必须在可以公开访问的 JavaScript 文件中定义。

不是说不能尝试隐藏 你的 key 通过应用原则

默默无闻的安全性;-)

您可以加密您的 key 并将解密功能放在您的 JavaScript 中。您可以通过将该函数隐藏在一个没人喜欢的大而讨厌的脚本中间，然后 来进一步增加查找难度。缩小你的 JavaScript (无论如何你应该这样做)。
我相信有可能变得“更有创意”并达到一些合理的完美:-)

然而，原则上，一个有足够动机的黑客仍有可能逆向工程师您的程序并获取 key 。你仍然可以让它变得足够难，所以黑客可能会寻找更容易的目标，据我们所知，其中有很多;-)

通过设置正确的权限减少潜在危害

不管你是否应用了之前的原则，你的黄金法则应该是尽可能地收紧你的解析(或任何其他服务器)权限。

这将防止诸如数据被破坏之类的坏事，这比 DoS 攻击更糟糕。

这仍然会允许任何知道你的 key 的人滥用它们——不仅是通过 DoS——而且还有更令人不快的事情，比如将其他人的签名作为用户并向毫无戒心的受害者发送确认电子邮件流。并且由于您可能希望允许新用户签名，因此您无法真正保护自己免受这种滥用(除了上一段的“方法”)。

解析自己的声明

几年前，我实际上在 Parse 论坛上问过这个问题，他们的回答是，如果发生这种情况，他们会调查。

最后的想法

最后，假设您的站点业务很关键，并且您不能在 Parse 等待实际发生的情况(这并不是说它们会很慢 - 我真的没有这种情况的经验)。

然后您可以做的是注册其他几个应用程序 key 以备后备并保留您网站的副本，以便您可以快速将用户转移到那里。或者只转移其中的一些。