8
Per motivi di sicurezza, provo a consentire solo agli IP di Mandrill di accedere a questi URL.Mandrilli Webhoock - Sicurezza
Qualcuno li conosce?
A
risposta
9
Abbiamo una gamma di IP utilizzati per i webhook, ma possono (e probabilmente lo faranno) cambiare o aggiungerne di nuovi quando scaliamo. Un'alternativa sarebbe aggiungere una stringa di query all'URL webhook che aggiungi in Mandrill e quindi controllare la stringa di query quando arriva un POST in modo da poter verificare che provenga da Mandrill.
17
firma di Mandrillo si trova nell'intestazione della risposta HTTP: Authenticating-webhook-requests
in Trova richiesta di intestazione: X-Mandrill-Signature. Questa è una base64 dell'hashcode, firmata usando la chiave di aggancio del web. Questa chiave è riservata solo al tuo webhook.
0
205.201.136.0/16
ho appena li whitelist nel firewall del mio server.
2
Basta sostituire le costanti e utilizzare questa funzione:
<?php
function generateSignature($post)
{
$signed_data = WEB_HOOK_URL;
ksort($post);
foreach ($post as $key => $value) {
$signed_data .= $key;
$signed_data .= $value;
}
return base64_encode(hash_hmac('sha1', $signed_data, WEB_HOOK_AUTH_KEY, true));
}
//---
if (generateSignature($_POST) != $_SERVER['HTTP_X_MANDRILL_SIGNATURE']) {
//Invalid
}
?>
1
Come descritto nel mandrillo di docs, che forniscono una firma per verificare se la richiesta è venuto veramente da loro. per costruire la richiesta ci sono a pochi passi:
- inizio con l'esatto URL del vostro webhook (barre mente e params)
- sorta variabili messaggio da chiave (in caso di mandrillo, avrete un solo parametro postale:
mandrill_events) - aggiungono chiave e il valore per l'url, senza alcun delimitatore
- hmac l'URL con la chiave segreta (è possibile ottenere la chiave dal web-interfaccia) e base64 IT.
- confrontare il risultato con il colpo di testa
X-Mandrill-Signature
qui c'è un esempio di implementazione in Python:
import hmac, hashlib
def check_mailchimp_signature(params, url, key):
signature = hmac.new(key, url, hashlib.sha1)
for key in sorted(params):
signature.update(key)
signature.update(params[key])
return signature.digest().encode("base64").rstrip("\n")
Problemi correlati
- 1. Sicurezza di sicurezza get Oggetto utente
- 2. Posso avere più contesti di sicurezza con sicurezza Spring?
- 3. DDD Politiche Sicurezza utente
- 4. PHP: Ricordami e sicurezza?
- 5. Sicurezza socket server client
- 6. Sicurezza SharedPreference Android
- 7. https sicurezza è compromessa
- 8. Kotlin sicurezza primavera config
- 9. CruiseControl.net sicurezza dashboard web
- 10. Sicurezza Android Modifica UID
- 11. OAuth token di sicurezza
- 12. Sicurezza di runtime scala
- 13. Sicurezza thread di log4net
- 14. Funzione thread strtok sicurezza
- 15. Eccezione di sicurezza
- 16. Socket.io Problemi di sicurezza
- 17. Sicurezza thread di JTextArea.append
- 18. Sicurezza in backbone.js?
- 19. Inizio sicurezza Web?
- 20. Sale, password e sicurezza
- 21. Sicurezza thread NSMutableDictionary
- 22. ActiveScaffold thread-sicurezza
- 23. Streaming Spark: sicurezza dell'applicazione
- 24. Sicurezza jQuery Mobile + Phoneonap
- 25. Codice sicurezza sessione
- 26. Sicurezza delle espressioni regolari
- 27. Python sicurezza oggetto incapsulamento
- 28. Intestazione di sicurezza dell'asse
- 29. Problema di sicurezza WCF
- 30. Avviso di sicurezza IE8
Oh sì, bello ed efficiente idea. Per gli altri, si tratta di informazioni sui metadati. È un pontile per il quale non mi piace il tuo post per ora :). Grazie – devside
Gli IP non possono essere falsificati! – ankitjaininfo
@ankitjaininfo Inciampato su questa domanda e il tuo commento ha suscitato la mia curiosità. Il mio primo istinto era quello di "non facilmente". Poi ho trovato questo post su IT Security Stack Exchange: https://security.stackexchange.com/questions/14505/can-i-trust-the-source-ip-of-an-http-request. Meglio 3 anni di ritardo che mai, immagino. – nageeb