모든 고객에게 개별적으로 취소 할 수있는 개인 키를 제공하지 않으면 연결을 효과적으로 거부 할 수 없습니다. 그러나 이것은 아마도 과잉 일 것입니다. 대부분의 사람들이 총알을 발사하지 않아도 방탄 솔루션이 필요하지 않습니다.
보안 질문이므로 위협 모델 및 완화 전략을 설명하겠습니다.
눈에 띄는 비용이 발생할 수있는 URL (예 : 처리 비용)이 있고 간단한 DoS 공격과 copycat 앱 모두에서 URL을 보호한다고 가정합니다.
SSL을 사용하여 연결이 쉽게 분석되지 않도록 숨 깁니다. 비 구속 포트 번호, 경로 재 지정 시퀀스, 쿠키 교환을 사용하여 비용이 많이 드는 요청을하기 전에 연결을 약간 복잡하게하십시오. 앱에 구운 일부 비밀 코드를 사용하여 서버가 연결을 수락해야 함을 알립니다.
이제 누군가 패킷 스니퍼를 실행하거나 코드에서 URL과 유사한 문자열을 확인하여 값 비싼 URL을 배울 수 없습니다. 잠재적 인 공격자는 앱을 디 컴파일해야합니다.
코드가 디 컴파일되거나 디버거에서 실행되는 것을 실제로 보호 할 수는 없습니다. 공격자는 결국 비밀 키와 연결 순서를 알게됩니다.
비용이 많이 드는 URL에서 공격의 형태로, 또는 실행하기 위해 서비스에 액세스해야하는 copycat 앱의 형태로 또는 악용 코드가 공개적으로 게시 된 루즈 요청을 받기 시작했습니다. 하지만 합법적 인 요청에서 불량 요청을 말할 수는 없습니다.
다른 비밀 키를 사용하여 앱을 무료로 업데이트하십시오. 손상된 고가의 URL과 동일한 데이터를 제공하는 다른 고가의 URL을 공격해야합니다. 얼마 동안 두 URL에 모두 액세스 할 수있게하십시오.
사용자 기반이 업데이트 된 버전으로 전환되는 것을보십시오. 손상된 비용이 많이 드는 URL을 조절하고 결국 404로 만듭니다. 너무 많이 잃지 않고 보안 위반을 완화했습니다. 원점으로 돌아가다.
면책 조항 : 저는 보안 전문가가 아닙니다.