接口安全验证及防刷处理方案_支付安全防刷防盗的解决方案 csdn

最新推荐文章于 2024-07-08 12:09:43 发布

程序员负总裁

最新推荐文章于 2024-07-08 12:09:43 发布

阅读量939

点赞数 30

文章标签：安全

本文链接：https://blog.csdn.net/Innocence_0/article/details/139945769

版权

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
![img](https://img-
blog.csdnimg.cn/img_convert/0eb2c16b54bf4a0da8466ecd981e752d.png)
![img](https://img-
blog.csdnimg.cn/img_convert/cb767bf468f5f06d62920fd3404215fa.png)
![img](https://img-
blog.csdnimg.cn/img_convert/d16e384decb6f40848876c630d4afea7.png)
![img](https://img-
blog.csdnimg.cn/img_convert/8caf1834dd1e53d74a193a4fd4656a04.png)
![img](https://img-
blog.csdnimg.cn/img_convert/b782ff8519a240c6ed498495d713f1b3.png)
![img](https://img-
blog.csdnimg.cn/img_convert/1f55c1c71915cf36530de6b86a5e4465.png)

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注网络安全）
![img](https://img-
blog.csdnimg.cn/img_convert/2eb05d3c5331853f0dbdeaaa532fd3b9.png)

正文

我们知道http 是一种无状态的协议，服务端并不知道客户端发送的请求是否合法，也并不知道请求中的参数是否正确。

举个例子, 现在有个充值的接口，调用后可以给用户增加对应的余额。

http://localhost/api/user/insert?user_id=1001&amount=10

如果非法用户通过抓包获取到接口参数后，修改user_id 或 amount的值就可以实现给任意账户添加余额的目的。

如何解决

采用https协议可以将传输的明文进行加密，但是黑客仍然可以截获传输的数据包，进一步伪造请求进行重放攻击。如果黑客使用特殊手段让请求方设备使用了伪造的证书进行通信，那么https加密的内容也会被解密。

一般的做法有2种：

采用https方式把接口的数据进行加密传输，即便是被黑客破解，黑客也花费大量的时间和精力去破解。
接口后台对接口的请求参数进行验证，防止被黑客篡改；

![](https://img-
blog.csdnimg.cn/img_convert/71fb24d162a41c85654b6f5ce49599c7.png)

步骤1：客户端使用约定好的秘钥对传输的参数进行加密，得到签名值sign1，并且将签名值也放入请求的参数中，发送请求给服务端
步骤2：服务端接收到客户端的请求，然后使用约定好的秘钥对请求的参数再次进行签名，得到签名值sign2。
步骤3：服务端比对sign1和sign2的值，如果不一致，就认定为被篡改，非法请求。

防重放

防重放也叫防复用。简单来说就是我获取到这个请求的信息之后什么也不改,，直接拿着接口的参数 重复请求这个充值的接口。此时我的请求是合法的,
因为所有参数都是跟合法请求一模一样的。

重放攻击会造成两种后果：

针对插入数据库接口：重放攻击，会出现大量重复数据，甚至垃圾数据会把数据库撑爆。
针对查询的接口：黑客一般是重点攻击慢查询接口，例如一个慢查询接口1s，只要黑客发起重放攻击，就必然造成系统被拖垮，数据库查询被阻塞死。

对于重放攻击一般有两种做法：

基于timestamp（时间戳）的方案

每次HTTP请求，都需要加上timestamp参数，然后把timestamp和其他参数一起进行数字签名。因为一次正常的HTTP请求，从发出到达服务器一般都不会超过60s，所以服务器收到HTTP请求之后，首先判断时间戳参数与当前时间比较，是否超过了60s，如果超过了则认为是非法请求。

一般情况下，黑客从抓包重放请求耗时远远超过了60s，所以此时请求中的timestamp参数已经失效了。如果黑客修改timestamp参数为当前的时间戳，则sign1参数对应的数字签名就会失效，因为黑客不知道签名秘钥，没有办法生成新的数字签名。

![](https://img-
blog.csdnimg.cn/img_convert/2470a22851a2dfa22dd599102670ce60.png)

一、网安学习成长路线图

网安所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。
在这里插入图片描述

二、网安视频合集

观看零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。
在这里插入图片描述

三、精品网安学习书籍

当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。
在这里插入图片描述

四、网络安全源码合集+工具包

光学理论是没用的，要学会跟着一起敲，要动手实操，才能将自己的所学运用到实际当中去，这时候可以搞点实战案例来学习。
在这里插入图片描述

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块
![在这里插入图片描述](https://img-
blog.csdnimg.cn/15c1192cad414044b4dd41f3df44433d.png)![在这里插入图片描述](https://img-
blog.csdnimg.cn/b07abbfab1fd4edc800d7db3eabb956e.png)

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）
![img](https://img-
blog.csdnimg.cn/img_convert/af8221ea84eb3fb8dae525071f50f795.png)

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

QjwGPJ6g-1713248019022)]