5.1.1.2 身份认证缺失
文档摘要
5.1.1.2 身份认证缺失 5.1.1.2 身份认证缺失:当“未登录”成为默认状态——一个被忽略的 HTTP 头字段如何让整个认证链崩塌 凌晨两点十七分,告警平台弹出第 13 条红色消息:“/api/v2/billing/invoice/export 接口在 3 分钟内被调用 847 次,来源 IP 聚集于 ASN 14061(某云厂商弹性 IP 池),无有效 session token”。运维同事刚切到日志面板,就看到一行刺眼的 curl 命令被完整记录在 accesslog 里: 没有 Cookie,没有 Authorization,没有 X-Auth-Token —— 只有赤裸裸的请求路径和查询参数。 它成功了。 它下载了上个月全部 237 张企业客户的增值税专用发票 PDF。
评论区
(0)
U