Sto per implementare un'API RESTful sul nostro sito Web (basata sui servizi di dati WCF, ma probabilmente non importa).Come si prevengono gli attacchi di forza bruta sui servizi dati RESTful
Tutti i dati offerti tramite questa API appartengono a determinati utenti del mio server, quindi devo assicurarmi che solo gli utenti abbiano accesso alle mie risorse. Per questo motivo, tutte le richieste devono essere eseguite con una combinazione login/password come parte della richiesta.
Qual è l'approccio consigliato per prevenire attacchi di forza bruta in questo scenario?
Stavo pensando di registrare le richieste non riuscite negate a causa di credenziali errate e ignorando le richieste provenienti dallo stesso IP dopo che una certa soglia di richieste non riuscite è stata superata. È questo l'approccio standard o mi manca qualcosa di importante?
Hm, come si desidera inserire CAPTCHA in API RESTfull? AFAIU tutti i clienti non dovrebbero essere esseri umani. – SergGr
Buon punto, devo aver battuto le palpebre sul bit RESTful. Difficile. – crazyscot
Un captcha è quello che sto usando in questo momento per il mio normale sito web. Ma come ha sottolineato il principiante Iphone, questa non è un'opzione per una riposante api. Il tarpitting potrebbe essere una buona idea. –