接口安全问题

最新推荐文章于 2021-11-02 17:27:04 发布
最新推荐文章于 2021-11-02 17:27:04 发布
阅读量143 收藏
点赞数 1
分类专栏: Java 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZHONGZEWEI/article/details/118245413
版权
架构 同时被 2 个专栏收录
22 篇文章 0 订阅
订阅专栏
Java
19 篇文章 0 订阅
订阅专栏

跨站请求伪造问题



目前:我们使用请求头的token(口令)去代表一个用户,每次请求服务器都会携带token去标识用户



接口路径+请求头的token+请求体 ,这三个要素构成了一个基本的请求报文



场景:

1、A用抓包工具,通过分析请求和响应,大致猜到我们的接口格式。

2、A在门店附近代理了一个wifi热点,扩大抓包范围,获取到了许多用户的合法token

3、A从步骤2中,获取到了合法token后,开始伪装成正常用户并用自己的服务器进行下单请求,导致门店无法正常服务





解决办法:



顺丰方案:

https://open.7debao.com/7?page_id=100

微信方案:

https://pay.weixin.qq.com/wiki/doc/api/wxa/wxa_api.php?chapter=4_3







1、服务器用用私钥将秘钥加密发给前端一段字符串

2、前端使用公钥将字符串解密成秘钥

3、对接口路径URL,请求头token,请求体(JSON字符串格式) ,随机值 ,再加上秘钥进行MD5计算得到签名

4、服务器接收请求时,也对接口路径URL,请求头token,请求体(JSON字符串格式) ,随机值 ,再加上秘钥进行MD5计算,看看服务端计算的签名是否和前端给的签名匹配,不匹配就拒绝请求



关键在于:前端的秘钥和签名计算方法不能让A知道





重放攻击问题



场景

1、A发现自己计算不出签名,但他能抓包到别人合法的请求

2、A拿别人合法的请求,原封不动的请求服务器





解决办法:

1、接口增加流水号,一个流水号代表一个请求

2、发现该流水号短时间频繁请求时,将其加入黑名单

ZHONGZEWEI
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
用最简单方法解决api接口安全问题,几乎无法破解
妙音
01-01 1万+
场景描述 项目需要为第三方提供api服务接口接口涉及到核心功能,如何保证接口安全。防止伪造身份、篡改数据? 思路 保障数据安全最好的方法,当然是加密了。无法解析内容,自然无法伪造,篡改。 可是使用https证书需要收费的。有其它方法么? 有的。 消息哈希认证(hmac)。 算法描述 访问者 1. 当访问接口时, 将参数按key值排序,组成key1=value1&key2=va...
webService的soap风格的接口安全问题
a_walking_tomcat的博客
09-13 3168
ws接口安全问题 1 接口调用者身份验证问题 Rsa:私钥加密,公钥解密 Cxf:usernameToken 1 在请求中加入wsse的安全协议 2 在wsse中用安全令牌(用户名/密码)来验证用户的身份 3  cxf在发送和接受ws的soap请求时,在框架中加入回掉函数来处理安全令牌的校验 4 如何安全令牌信息放入请求信息中,和服务器上如何在调用方法时拦截并且校验
API接口请求安全
爱与不爱,一念之间
10-31 361
在设计API时,要保证RESTful API的安全性,主要考虑三个大方面: 数据窃取: 用户的密码被不轨之人盗取,登录账号发布一些敏感信息,盗刷等 数据篡改: 前端表单向后台提交请求时,在数据传输过程中数据被抓包后进行更改再提交 数据泄露: 爬虫讲业务数据甚至核心数据抓取,直接或间接造成损失 这三点,在实际项目开发中,是需要特别注意的,也是很基础性的准则问题,那么该如何针对性的安全防范呢?其实解决...
利用Token机制解决重复重复提交问题
leokelly001的专栏
12-01 7114
利用Token解决重复重复提交: Struts利用同步令牌(Token)的方式来解决Web应用中重复提交的问题,其机制是在form表单中增加一个隐藏的域,保存当前令牌值,然后在程序中判断此令牌值是否合法. 原理基本如下: 1.在原表单页面   中增加一个隐藏域,用于保存当前令牌(随机数token)的值。 2.在原表单页面   中将此token放入session中 3.在目
前端访问后端接口,后端没有接收到值,或者访问后端没反应,调试也没进来
热门推荐
小菜鸟的博客
11-02 1万+
以下错误不熟悉所导致的大概两个个错误,如果我漏了请告诉我,还有返回错误就不说了 // 前端 this.axios.get('/api/xxx/User',this.tabledata).then(res => { }); //后端 public async Task<IActionResult>User(user filter) { } 一:前端访问后端代码没反应 1.检查前端名字与后端是否相同 2.查看请求类型:前后 是否是一样的 Get或者Post请求
解决:并发 获取token值被覆盖,防止重复获取token
T
12-12 4660
在调用接口接口里是有token的 但是 如果并发 token值被覆盖,就会造成其他接口报错, 其实有很多办法 比如 存放到redis 或者数据库里 但是token有过期时间 token会失效 所以需要更新,这样的其实比较 费事的, 解决: 其实一个定时任务就可以解决 首先写个静态方法 获取 token 加上定时器让他2分钟或者1分钟执行一次 ,这样也不用担心token会失效了,因为我每个2分...
微信小程序-API接口安全详解
01-03
这就可能会造成接口安全问题。一些别有用心的人可以通过抓包或者其他方式即可获得到后台接口信息,如果不做权限校验,他们就可以随意调用后台接口,进行数据的篡改和服务器的攻击,会对一个企业造成很严重的影响。 ...
Spring Cloud中如何保证各个微服务之间调用的安全性?
码农架构
08-19 6991
导读:在微服务的架构下,系统会根据业务拆分为多个服务,各自负责单一的职责,在这样的架构下,我们需要确保各api的安全性,也就是说服务不是开放的,而是需要授权才可访问的,避免接口被不合法的请求所访问。 但是在在微服务集群中服务之间暴力的接口,或者对于第三方开放的接口如果不做及安全和认证,后果可想而知。 阅读下文之前思考几个问题: 如何在restTemplate远程调用请求增加添加统一认证? 服务认证如何规范加密和解密? 远程调用统一什么协议比较合适? 如下图,三个服务注册到同一个注册中心.
每次访问接口时获取token
夏微凉秋微暖的博客
07-02 5371
1.通过filter需要拦截验证是否登录 https://blog.csdn.net/pengbin790000/article/details/90377979 2.访问controller时,先执行方法获取token,获取token 的用户数据 @Autowired private HttpServletRequest request; private String to...
接口安全问题及解决方案
yshir
05-15 1070
数据在网络中传输,中间会经历无数路由器,而每个路由器都可以抓包。 为防止被窃取需要加密,有对称加密和非对称加密。 对称加密:两个密钥一样。(安全隐患,密钥会被泄露) 非对称加密:密钥不一样。非对称更安全,性能低。 如果黑客拿到密文,也没啥用,因为密钥他不知道。 加密(对称加密DES,AES,非对称加密RSA), 加解密:https://www.sojson.com/encrypt.html,可以测试我们java加解密正确否,和外部调试。 对称和非对称加密应用的典型场景:https。 ht..
web应用安全测试之业务漏洞
千寻的博客
12-09 3730
文章目录业务逻辑篡改密码修改/重置流程跨越漏洞描述测试方法:风险分析:风险等级:修复方案负值反冲漏洞描述测试方法风险分析风险等级:修复方案:正负值对冲漏洞描述测试方法风险分析风险等级:修复方案:业务流程跳跃漏洞描述测试方法:风险分析风险等级:修复方案业务功能失效通配符注入漏洞描述测试方法风险分析:SQL中通配符的使用如下:风险等级:修复方案业务功能滥用短信定向转发漏洞描述测试方法风险分析风险等级:修复方案邮件可定向转发漏洞描述测试方法:=风险分析风险等级:修复方案业务接口调用缺陷漏洞描述测试方法风险分析风险
流水号(自动编号)生成相关问题(并发、事务)及解决方案
窗前的茶的博客
09-20 8347
流水号生成的事务和并发问题 因为界面可能多个人创建了表单,生成的流水号号需要顺序加: //从数据库中取出上一次生成的流水号编号 number = select value from 流水号表 where id =? //更新数据库 编号+1 update number = number + 1; return number; 这里就会有并发问题: 假如有2个人同时去数据库取值 , 取到的值可能是一样的, 所以生成的 编号也可能一样 ,这就有问题了 ​ 并发问题产生的原因和解决方案 为什么会有并发问题 最主
D-BUS详细分析
fuerbosi
12-21 933
一、概述 官方网站:http://www.freedesktop.org/wiki/Software/dbus,但是如果要下windows版的代码最好不要从sourceforge下,多次下来的1.2.4版本都无法正常解压。可以从svn上拿,具体见后面的dbus编译部分。 从官方首页中可以看到这样一段描述D-BUS 的话:“D-Bus is a message bus syst...
完美实现SpringBoot+Angular普通登录
好好学java
03-11 436
点击上方好好学java,选择星标公众号重磅资讯、干货,第一时间送达 今日推荐:2020,搞个 Mac 玩玩!个人原创+1博客:点击前往,查看更多 作者:LYX6666 链接:...
转售调用接口时生成的流水号
htofly的专栏
11-07 742
create  sequence REQUEST_NO_SEQ minvalue 1 maxvalue 9999999999 start with 125 increment by 1 cache 20 cycle;  create or replace function GET_REQUEST_NO_FUN  return varchar2 is   REQUEST_NO v
java如何实现登录接口安全问题
最新发布
04-24
Java 实现登录接口安全问题主要包括以下几个方面: 1. 用户密码的安全性:在传输和存储用户账号密码时应该使用加密算法来保障数据的安全。比如使用 SHA、MD5 等算法,可以在服务端对密码进行加密,并且在存储之前...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值