问题描述
我想在我的服务器中提供一些静态文件,但我不希望人们访问它,除非他们知道确切的 URL。
这意味着像游戏一样工作,解决难题并通过查找 URL 进入下一阶段。网络上肯定有几个类似的游戏。
-
我担心的是,是否有人可以通过“映射”服务器中的所有静态文件来避免这个难题。那可能吗? [假设拼图解决方案将导致提供静态文件]
-
我想针对 URL 路由扩展相同的问题,是否可以发现网站的所有 url 路由? 例如,如果没有指向第二个 URL 的链接,我有 mysite.com 和 mysite.com/hidden/solution.html,有人可以获得此信息吗? [暴力破解除外]
我正在使用 AWS Lightsail(django 和 apache)托管此页面。我可以/需要在 django/apache 方面做些什么来防止这种情况发生?
解决方法
是否有可能发现一个网站的所有 url 路由? [暴力破解除外]
没有暴力破解(或 URL 模糊测试)是不可能的,但您的用户可以共享链接,所以...
我认为有两种方法可以做到这一点:
1.如果用户已通过身份验证
如果用户通过了身份验证,那么解决方案很简单。将解决的谜题 ID 保存在数据库中。如果用户想要查看解决方案,请检查数据库以查看用户是否已解决难题并提供响应。
2.如果用户未通过身份验证
您可以使用某种加密签名的令牌。当用户解出谜题时,您将向他们发送一个签名令牌,这意味着“此用户已解出此谜题”。稍后,当用户想要查看解决方案时,他们需要发送令牌才能查看。
见Django's Cryptographic signing docs。
import time
from django.core.signing import Signer
signer = Signer()
token = signer.sign_object({
'solution_id': <solution-id>,# could be the name of the html file
'expire_at': time.time() + 900 # token expiry time (15 minutes from now)
})
print(token) # -> 'eyJtZXNzYWdlIjoiSGVsbG8hIn0:Xdc-mOFDjs22KsQAqfVfi8PQSPdo3ckWJxPWwQOFhR4'
# Send the token to the client
稍后如果用户想要查看 /solution.html
,他们需要在 url 中发送令牌。
/solution.html?token=<token value>
在您看来,您可以像这样检查令牌:
token = request.GET.get('token')
if not token:
# return HTTP 403 Permission Denied
try:
data = signer.unsign(token)
except signing.BadSignature:
# invalid signature
# return HTTP 403 Permission Denied
# check if token expired
if data['expire_at'] > time.time():
# return HTTP 403
# check if token's solution_id matches the requested solution
# ...
# return the response
这种方法的缺点是,即使用户解决了一个难题,他们也只能在令牌过期之前查看解决方案。