开放API 防止恶意调用纪实

最新推荐文章于 2024-05-07 12:26:02 发布
最新推荐文章于 2024-05-07 12:26:02 发布
阅读量640 收藏 3
点赞数 1
分类专栏: java SpringBoot 文章标签: 开放API 防止恶意调用 恶意访问 恶意调用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lingfeian/article/details/92834783
版权
java 同时被 3 个专栏收录
83 篇文章 1 订阅
订阅专栏
SpringBoot
23 篇文章 0 订阅
订阅专栏
互联网
15 篇文章 0 订阅
订阅专栏

开放API 防止恶意调用纪实

简介:我们公司网站属于知识产权+电商性质的平台,平时用户量并不是特别大。一开始我们并没有做太多的网站安全验证工作,只是简单的实现了IP黑白名单的控制。
2019年04月份开始,系统监控数据显示,平台有几个API被高频率恶意调用。刚开始发现是我们采取的应对措施是:将该请求IP加入到黑名单,禁止该用户继续访问我们的系统。半天之后我们发现用户更换了一个ip又继续刷。很明显,黑白名单对这类专业玩家是没有作用的,于是一段持久的攻防战拉开序幕。

第一次升级

升级内容

  1. 通过js对请求参数进行md5摘要,防止参数被篡改。
  2. 限制每个ip的访问次数,当一个ip访问次数等于N的倍数时,要求客户属于验证码。
  3. 提供随机字母+数字的验证码

取得效果
在升级后的第三天,我们发现系统又被恶意攻击了,对方通过伪IP的方式,躲避验证码的限制,继续风控的访问我们的系统。

第二次升级

升级内容

  1. 每自然小时访问次数超过k次时,继续调用,每次都要求属于验证码,当天总访问量超过M次时,每次访问都要求属于验证码。
  2. 请求头判断refer属性是否满足要求,如果不满足直接返回一个mock的值给调用方。

取得效果
升级后的第5天,那个可恶的家伙又来了,这一次对方已经破解了我们使用的随机字母+数据验证码,又一次期无忌惮的疯狂的调用我们的API。

第三次升级

升级内容

  1. 验证由随机字母+随机的方式,升级问简单数学问题,两个数据的随机加减

取得效果
这一次升级后一周的时间内对方仍有不断的试探动作,估计是在尝试破解我们的问题验证码。
老实说:这种问题验证码破解起来仅仅比字母+数据的方式难度提高一点而已,依旧可以通过程序来进行计算,并不可靠,于是我们决定在对方破解之前再一次升级。

第四次升级

升级内容

  1. 将简单算术验证码改为随机汉字点选验证码。实现点选随机汉字验证码

取得效果
自从升级以后未见对方再有试探性动作,可以说双方的攻防战暂时告一段路,我方取得了暂时的胜利。

注:我们提供的是开放的服务,所以我们要保证服务的可用性同时还要保证服务的体验性。在对方使用大量肉鸡攻击我们的情况下,我们是无法避免对方恶意调用的,我们能做的仅仅是增加对方犯罪的成本,让对方觉得无利可图自动立场。

凌飞安
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防止API恶意调用
qq_42888874的博客
12-18 2256
一、身份鉴定。这个可以使用Oauth2.0规范,或者带有不对称密钥加密的token,选择JWT等形式,配合身份鉴定系统来保证。 二、内容防篡改。可以使用数字签名算法来进行哈希校验,强制HTTPS通信。最新的系统可以考虑http/2。 三、 DDoS 攻击。通过设置防火墙, 控制API调用频. 率,例如协议的rate- -limit 等设置来进行沟通和控制。 四、注入攻击。这个需要从输入校验、编解码、输入过滤和转化方面着手,主流框架都有基本的防注入设计。 五、同源策略。通过正确的配置CORS来防止异常调用,但
如何防止公开接口恶意调用
weixin_33738555的博客
07-06 2555
今年组长给了几个任务,其中有两个是关于对外接口的安全控制: 前端验证组件 利用浏览器Js加密的技术访问接口防止恶意用户越过浏览器直接访问我们的接口。 人机识别 在接口端再做一层检测,区分调用者来自普通用户还是工具模拟,进一步防止恶意接口的行为。 主要研究的方向在于如何提取用户行为,因为工具模拟是没有一般的用户行为的。 可能的实现方...
今天看到一个有意思的问题:个人网站被恶意大量访问,怎么办(文末附GPT指令优化)
最新发布
svygh123的专栏
05-07 1166
遇到这样的问题,肯定是要制定可行方案并及时止损,我们看GPT怎么回答,根据GPT的回答,我们得到一个信息,那就是GPT会根据你的提问,给出不同的回答,而上面的回答就是偏向于理论型的,还需要加入个人的分析和决策,然后进一步追问,才会得到更精准的答案。
防止别人恶意调用API接口
zds448588952的博客
10-20 2407
大公司的网络安全比下面复杂的多 1、 验证码(最简单有效的防护),采用点触验证,滑动验证或第三方验证码服务,普通验证码很容易被破解 2、频率,限制同设备,同IP等发送次数,单点时间范围可请求时长 3、归属地,检测IP所在地是否与手机号归属地匹配;IP所在地是否是为常在地 4、可疑用户,对于可疑用户要求其主动发短信(或其他主动行为)来验证身份 5、黑名单,对于黑名单用户,限制其操作,API...
如何防止接口恶意请求?添加时间戳检验?
NoviceZ的博客
08-01 751
Autowired@Autowired@Autowired@Overridethrow new UserException(ReturnCode.PARAMETERS_ERROR, "缺少session");//获取方法中的注解,看是否有该注解= null){//从redis中获取用户访问的次数// 有可能ip是代理的//第一次访问//加1}else{//超出访问次数。
使用Vaptcha防止恶意访问
zhaotian19871204的博客
09-06 4906
背景:一般网站都会涉及注册、登录、发送邮件、验证码之类的功能,为了方便用户使用手机号注册及找回密码,前段时间增加了发送手机验证码的模块;上线运行也没什么问题。一天偶然查看日志发现验证码发不了了,登录第三方短信平台一看,晕死,某一天联系发送验证码把余额全部耗光了。++   开发:搜索发现了Vaptcha,官网:https://www.vaptcha.com;这个可以免费创建三个验证模块,对应一...
API接口手工防御被恶意调用接口被攻击
03-29
通常情况下的api接口防护有如下几种: 使用HTTPS防止抓包,使用https至少会给破解者在抓包的时候提高一些难度 接口参数的加解密,通过md5加密数据+时间戳+随机字符串(salt),然后将MD5加密的数据和时间戳、原数据均...
动态调用API.rar
04-06
然而,动态调用API也需要注意安全性,避免调用不安全或者未经验证的API防止恶意代码的注入。 总之,动态调用API是编程中的一个重要技能,尤其在需要深入操作系统底层功能时。易语言通过其独特的语法和机制,降低...
C# WEBAPI 及winform调用
02-03
webapi 项目平台,包含接口生成,及接口调用方法,项目代码清晰明了,非常值得初学者参考借鉴,更具体的开发步骤可以登入我的博客查看:http://www.cnblogs.com/gudaozi/p/8384734.html
k3cloud WEBAPI调用
10-11
金蝶K3CLOUD 单据借口事例,付款信息第三方系统保存付款信息
.net 调用API接口全(get,post)
01-19
包含了get和post各种参数形式及方法, public static U Post, T>(string url, T model, NameValueCollection headers = null) { return HttpClientHelper.Post, T>(url, model, headers); } ...
Vaptcha验证码配置实现人机验证
小草的博客
05-14 5078
官网免费注册地址:https://www.vaptcha.com/ 登录后创建验证单元 提交之后就可以获取vid和key 第一步,引入 vaptcha 提供的 js 脚本文件。 <script src="https://cdn.vaptcha.com/v2.js"></script> 第二步,在需要显示验证码的地方,加入下面的代码: <div data-vid="你的vid" style="width: 300px;height: 36px;"> .
登录前的人机验证VAPTCHA
dawnStart的博客
12-13 2532
验证流程 1、创建验证单元,获取VID和Key 。点击创建。 2、将https://v.vaptcha.com/v3.js引入到你的页面。 3、将 VAPTCHA 初始化到你需要的位置 4、用户验证通过得到token,与表单数据一同提交到服务端。 5、服务端得到token后,向 VAPTCHA 服务器验证token的有效性,验证通过说明此次请求有效. ...
vaptcha的二次验证
qq_40633199的博客
04-06 1561
vaptcha二次验证官网介绍应用场景接入流程验证流程后台代码实现 官网介绍 VAPTCHA是“Variation Analysis based Public Turing Test to Tell Computers and Humans Apart”(基于变量分析来区分人类和计算机的图灵测试程序)的缩写,又称为手势验证码, 一种基于人工智能和大数据的人机验证解决方案 。用户仅需用鼠标绘制指定轨...
撸一个Vue手势验证码组件
weixin_33918357的博客
08-07 1719
手势验证码VAPTCHA 这是一种绘制轨迹进行人机的验证码,官网称为手势验证码。以下为官网说明: VAPTCHA是“Variation Analysis based Public Turing Test to Tell Computers and Humans Apart”(基于变量分析来区分人类和计算机的图灵测试程序)的缩写,又称为手势...
vue对接vaptcha验证码组件
泛酸的桂花酒
07-06 1509
修改自网上的demo,填入对应的vid即可,如需修改配置,传入组件对应的props即可。 <template> <div ref="vaptcha" style="width:300px;height:36px"> <div class="vaptcha-init-main"> <div class="vaptcha-init-loading"> <a href="https://www.vaptcha.com/"
vaptcha验证码接入
自我研究室
04-30 2806
文章目录注册代码流程例子样式前端代码重点两种获得token方式实战js后端 注册 官网 新建验证单元 拿到VID和KEY 代码流程 开发文档 例子 样式 <style> .vaptcha-init-main { display: table; width: 100%; height: 100%; background-color: #EEEEEE...
防止API恶意调用,一般有哪些方法?
墨痕诉清风的博客
10-26 2030
1. 图片验证码 2. 限制请求次数 3. 流程条件限制 4. 归属地是否一致 5. 服务器接口验证 6. 采用https 7. 服务端代理请求
接口防止恶意调用的安全策略
qq_24516549的博客
03-29 2369
1.背景 需要做一个微信分享的后端支持接口,请求响应中包含appid,为了避免对外暴露配置相应的安全策略 2.步骤 限制请求域名 在后端cors过滤器中添加指定的域名作为allowedOrigins的值,非此域名无法访问接口\ @Configuration public class CorsConfig implements WebMvcConfigurer { @Override ...
接口加锁防止恶意调用
07-14
4. 使用API密钥或令牌:要防止恶意调用,可以要求每个调用者提供有效的API密钥或令牌。你可以在接口中验证密钥或令牌的有效性,并拒绝无效或过期的请求。 5. 引入访问控制列表(ACL):通过定义一个访问控制列表,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值