接口参数防篡改处理

最新推荐文章于 2024-08-15 17:27:32 发布
最新推荐文章于 2024-08-15 17:27:32 发布
阅读量5.7k 收藏 13
点赞数 3
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hello_jee/article/details/86619322
版权

向外网开发的接口,由于外网环境的复杂,容易被人获取到请求地址,以及真是的请求参数,就能够使用该参数再次请求,造成重放攻击;或者黑客直接篡改请求参数。

为了防止请求参数被篡改,需要对参数进行加密。

这里采用的是每次请求根据月的的密钥生成签名sign,在请求到达后台服务器时对请求参数再次进行校验生成签名,比较两次签名。如果一致则认为请求参数没有被篡改,如果不一致则认为请求参数已经被篡改,拦截请求。

下面代码实现

public class RequestCryptoHelper {
	//密钥
	private static String signKeys = "xxxxxxx";
	
	public static String sha1(String value) {
		if (value == null) {
			return null;
		}
		try {
			MessageDigest digest = java.security.MessageDigest.getInstance("SHA-1");
			digest.update(value.getBytes());
			byte messageDigest[] = digest.digest();
			// Create Hex String
			StringBuffer hexString = new StringBuffer();
			// 字节数组转换为 十六进制数
			for (int i = 0; i < messageDigest.length; i++) {
				String shaHex = Integer.toHexString(messageDigest[i] & 0xFF);
				if (shaHex.length() < 2) {
					hexString.append(0);
				}
				hexString.append(shaHex);
			}
			return hexString.toString();
		} catch (Exception e) {
			e.printStackTrace();
		}
		return null;
	}
	
	/**
	* 这里对请求参数字符串进行处理,去掉所有的空格,和双引号
	* 以防止不同系统对于参数处理不同
	*/
	public static String crypto(String signString){
		signString = signString + signKeys;
		signString = signString.replaceAll("\"", "")
								.replaceAll(" ", "");
		return RequestCryptoHelper.sha1(signString.toLowerCase());
	}
}

这里是spring boot项目,所以拦截器继承了HandlerInterceptorAdapter实现请求的拦截处理,
这里同时将时间戳一起传递,拦截超时请求,这里设置的超时时间是30秒。

@Component
public class RequestParamVerifyInterceptor extends HandlerInterceptorAdapter {
	//这里是对springmvc中路径传参的加密,约定路径传参,在请求头加上(pathvariable: 路径)
	//在参数加密时也一起加密
	private static final String PATH_VARIABLE = "pathvariable";
	
	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {
		try {
			Map<String, Object> params = new HashMap<>();
			Map<String, String[]> parameterMap = request.getParameterMap();
			Iterator<String> iterator = parameterMap.keySet().iterator();
		    while (iterator.hasNext()) {
		        String key = iterator.next();
		        String[] valueArr = parameterMap.get(key);
		        //这里约定参数不重复
		        params.put(key, valueArr[0]);
		    }
		    String pathvariable = request.getHeader(PATH_VARIABLE);
		    StringBuffer requestURL = request.getRequestURL();
		    if(pathvariable != null) {
		    	if(!requestURL.toString().endsWith(pathvariable)) {
		    		throw new Exception("error:路径传参错误!");
		    	}
		    	if(params.containsKey(PATH_VARIABLE))
		    	params.put(PATH_VARIABLE, pathvariable);
		    }
		    
			if (request.getHeader("sign") == null || request.getHeader("timestamp") == null) {
				throw new Exception("error:参数错误,缺少必要参数!");
			}
			long timestamp = Long.parseLong(request.getHeader("timestamp"));
			long now = System.currentTimeMillis();
			long diffMillis = now - timestamp;
			/// 30秒
			if ( diffMillis >= 30*1000 ) {
				throw new Exception("error:请求失效!");
			}
			Set<String> keysSet = params.keySet();  
			Object[] keys = keysSet.toArray(); 
			Arrays.sort(keys);  
			StringBuffer temp = new StringBuffer();  
			for (Object key : keys) {
				if(key.equals("sign") || key.equals("timestamp")){
					continue;
				}
				temp.append("&"); 
				temp.append(key).append("=");  
				Object value = params.get(key);  
				String valueString = "";  
				if (null != value) {  
					valueString = String.valueOf(value).toLowerCase();  
				}   
				temp.append(valueString);  
			} 
			String sign = request.getHeader("sign");
			String signString = temp.toString().substring(1)+"&timestamp="+timestamp;
			String signedString = RequestCryptoHelper.crypto(signString);
			boolean result = sign.equals(signedString) ? true : false;
			return result;
		} catch (Exception e) {
			e.printStackTrace();
			return false;
		}
	}
	
	@Override
	public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
			ModelAndView modelAndView) throws Exception {
		
	}

	@Override
	public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
			throws Exception {
		
	}

}

注意:
这里需要注意的是,由于参数从前台传到后台,顺序可能发生改变。所以需要对参数进行排序,代码示例中按照参数名排序。

将拦截器注册到springboot项目中。

@Configuration
public class WebAppConfigurer extends WebMvcConfigurerAdapter{
	@Autowired
	private RequestParamVerifyInterceptor requestParamVerifyInterceptor;
	
	@Override
	public void addInterceptors(InterceptorRegistry registry) {
		registry.addInterceptor(requestParamVerifyInterceptor).addPathPatterns("/**");
	}
}
hello_jee
关注
专栏目录
SpringBoot实现接口签名篡改(V2)
明平姚的博客
07-09 1633
SpringBoot实现接口签名篡改
java-http-json接口认证与篡改机制非侵入式实现
GitChat
08-28 913
这里针对后端系统间的交互实现。说到接口不得不考虑应用的身份认证、数据的篡改甚至是数据的加密(数据加密这里不作讨论)。具体实现网上很多。但开发的逻辑都大同小异。大同小异意味着什么?复用。复用意味着可以写成工具类?这显然是不够的。那接下来,我不管你怎么想的,都听我的。...
webapi接口请求数据篡改
08-17
自己简单实现的一个webapi接口请求时验证客户端传送数据止被篡改的组件,需要客户端配合签名,不懂的想想支付宝的支付接口签名,业务逻辑一样。
API接口如何参数篡改和重放攻击?
草原孤狼的专栏
11-09 2305
好记忆不如烂笔头,能记下点东西,就记下点,有时间拿出来看看,也会发觉不一样的感受. 目前所有的系统架构都是采用前后端分离的系统架构,那么就不可能避免的需要服务对外提供API,那么如何保证对外的API的安全呢? 即生鲜电商中API接口参数篡改和重放攻击 目录 1. 什么是API参数篡改? 说明:API参数篡改就是恶意人通过抓包的方式获取到请求的接口参数,通过修改相关的参数,达到欺骗服务器的目的,常用的篡改的方式是用签名以及加密的方式。 2. 什么是API重发攻击? 说明:API重放.
如何保证接口安全,做到篡改重放?
最新发布
qq_53058639的博客
08-15 754
对于互联网来说,只要你系统的接口暴露在外网,就避免不了接口安全问题。如果你的接口在外网裸奔,只要让黑客知道接口的地址和参数就可以调用,那简直就是灾难。举个例子:你的网站用户注册的时候,需要填写手机号,发送手机验证码,如果这个发送验证码的接口没有经过特殊安全处理,那这个短信接口早就被人盗刷不知道浪费多少钱了。那如何保证接口安全呢?一般来说,暴露在外网的api接口需要做到和才能称之为安全的接口
API接口参数篡改和重放攻击
他山之石,可以凿玉
01-15 1526
 API重放攻击(Replay Attacks)又称为重播攻击、回放攻击。它的原理就是把之前窃听到的数据原封不动的重新发送给接收方。HTTPS并不能止这种攻击,虽然传输的数据都是经过加密的,窃听者无法得到数据的准确定义,但是可以从请求的接收方地址分析这些数据的作用。比如用户登录请求时攻击者虽然无法窃听密码,但是却可以截获加密后的口令然后将其重放,从而利用这种方式进行有效的攻击。 所谓重放攻击就是攻击者发送一个目的主机已经接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,重放攻击是计算机世界黑客常用
重放、篡改攻击的实现(Java版)
Mango的博客
12-14 4678
重放、篡改攻击的实现(Java版)
【Java】如何有效止API的重放攻击?API接口参数篡改
DreamSun的博客
07-14 3132
API重放攻击(Replay Attacks)又称为重播攻击、回放攻击。它的原理就是把之前窃听到的数据原封不动的重新发送给接收方。HTTPS并不能止这种攻击,虽然传输的数据都是经过加密的,窃听者无法得到数据的准确定义,但是可以从请求的接收方地址分析这些数据的作用。比如用户登录请求时攻击者虽然无法窃听密码,但是却可以截获加密后的口令然后将其重放,从而利用这种方式进行有效的攻击。
接口安全设计之篡改重放
Innocence_0的博客
06-25 1298
之所以想跟大家分享怎么做好基础的接口安全,一方面是工作需要,之前这部分的工作是我在负责,所以正好有这部分的经验;二是我之前也接触过很多做后端的同学,对于这一块大部分涉及不深或不太了解,也不知道怎么样做才算相对安全。所以把我的想法写出来,供大家参考和讨论,共同学习和进步。当然了,我分享的也只是我的个人经验,自然有很多的不足之处,也并不是说我后续阐述的一些观点和实现就一定是安全的,大家要加入自己的判断,并且混入一些定制化的东西。
接口调用参数篡改测试
酷狗直播-锦凡歆的博客
05-28 743
接口调用参数篡改测试 在短信、邮件调用业务环节中,例如短信验证码、邮件验证码。修改对应请求中手机号或邮箱地址参数值提交后,如果修改后的手机号或邮箱收到系统发送的信息,则表示接口数据调用参数篡改。 作者: 锦凡歆在‘来疯’直播唱歌最好听 修复建议 (1)会话Session中存储重要的凭证,在忘记密码、重新发送验证码等业务中,从 Session获取用户凭证而不是从客户请求...
参数篡改重放踩坑记录~
qq_44431331的博客
12-03 1218
就是别有用心的人呢,对你的请求进行抓包,拿到通信包后,伪装一下,拿着包不断地进行请求,这样就耗费掉很多服务器资源,比如恶意地区刷你的短信服务,或者如果是电商业务地话,恶意攻击者就可以恶意地去下单。
SpringBoot请求响应参数篡改
闲余知道
07-06 1985
SpringBoot参数加签、验签,参数篡改
如何止API参数篡改
TinagirlAPI的博客
03-13 680
一般情况下,从抓包重放请求耗时远远超过了60s,所以此时请求中的timestamp参数已经失效了,如果修改timestamp参数为当前的时间戳,则signature参数对应的数字签名就会失效,因为不知道签名秘钥,没有办法生成新的数字签名。说明:API参数篡改就是恶意人通过抓包的方式获取到请求的接口参数,通过修改相关的参数,达到欺骗服务器的目的,常用的篡改的方式是用签名以及加密的方式。nonce参数作为数字签名的一部分,是无法篡改的,因为不知道签名秘钥,没有办法生成新的数字签名。
Spring Boot接口安全护:篡改重放攻击策略
总结来说,通过签名验证和时间戳相结合的方式,可以有效地止Spring Boot接口参数篡改,以及止恶意用户利用旧请求进行重放攻击。在实际开发中,开发者应结合HTTPS等其他安全措施,为API接口提供全面的安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值