如何防止请求的URL被篡改

最新推荐文章于 2024-07-12 14:30:00 发布
最新推荐文章于 2024-07-12 14:30:00 发布
阅读量3.8k 收藏 2
点赞数 1
分类专栏: 服务端安全

原文来源:https://yq.aliyun.com/articles/658779

摘要: 如图,是我们模拟的一个从浏览器发送给服务器端的转账请求。久一的ID是 web_resource,正在操作100元的转账。 再如图,因为是通过浏览器 `url` 访问服务,这个时候金额被篡改成了 200,那么服务器接受到了200,直接扣除了200怎么解决?这就是本文要讲解的内容。

如图,是我们模拟的一个从浏览器发送给服务器端的转账请求。久一的ID是 web_resource,正在操作100元的转账。

011c822f6fef7f79982b215ef04e86e575f33682

再如图,因为是通过浏览器 `url` 访问服务,这个时候金额被篡改成了 200,那么服务器接受到了200,直接扣除了200怎么解决?这就是本文要讲解的内容。

816f7967f96573d2a164a84178f5f0009e8ce8d5

防止url被篡改的方式有很多种,本文就讲述最简单的一种,通过 secret 加密验证。

道理很简单,服务器接收到了 price 和 id,如果有办法校验一下他们是否被修改过不就就可以了吗?

那么我们传递的时候增加一个参数,叫做sign,sign是使用用户不可见的一个secret和price、id组合加密获得,然后传递给服务器端。当服务器端接收到请求的时候,获取到price、id,通过同样的secret加密和sign比较如果相同就通过校验,不同则被篡改过。

c02c62f3f9b6410977719b12333fc9e56c8f4281

那么问题来了,如果参数特别多怎么办?

所以通用的做法是,把所有需要防止篡改的参数按照字母正序排序,然后顺序拼接到一起,再和secret组合加密得到 sign。具体的做法可以参照如下。

public static String generateSign(Map<String, String> parameters) {
try {
List<String> names = new ArrayList<>();
parameters.forEach((k, v) -> {
if (v != null && !Objects.equals(v, "")
&& !Objects.equals(k, "sign")) {
names.add(k);
}
});

List sortedNames = names.stream().sorted()
.collect(Collectors.toList());
StringBuffer sb = new StringBuffer();
sortedNames.forEach(n ->
sb.append(String.format("%s=%s", n, parameters.get(n))));
String sign = md5(sb.toString());
return sign;
} catch (Exception e) {
return "";
}
}

private static String md5(String inputString)
throws NoSuchAlgorithmException, UnsupportedEncodingException {

MessageDigest md = MessageDigest.getInstance("MD5");
md.update(inputString.getBytes("UTF-8"));

byte[] digest = md.digest();

return convertByteToHex(digest);
}

private static String convertByteToHex(byte[] byteData) {
StringBuilder sb = new StringBuilder();
for (int i = 0; i < byteData.length; i++) {
sb.append(Integer.toString((byteData[i] & 0xff) + 0x100, 16)
.substring(1));
}
return sb.toString();
}

generateSign 就是所有需要加密的参数,包括secret

有的同学担心,那么他万一猜到了我的加密算法怎么办,这个不用担心,你的secret是保持在服务器端的,不会暴漏出去的,所以他知道了算法也不会知道具体加密的内容。

那么问题又来了,如果小明通过抓包工具获取到了URL,他是不是可以无限制的访问这个地址呢?那就出现了“久一”的钱被一百一百的转空了。

那可怎么办?这里涉及到了另一个话题,接口的幂等,我们后面会详细讲解怎么通过幂等控制重复扣款。这里我们要讲解的是怎么控制 URL 失效。

这里又有一个通用的做法,就是再添加一个参数 timestamp。对的,就是当前的时间戳。服务器获取到 timestamp 以后检验一下是否在5分钟以内,如果不是直接返回请求失效就可以了?那么如果timestamp 被篡改了呢?不会的,因为我们按照上面的做法同样对 timestamp 做了加密防止篡改。

1ee5ade7c3b2274f36fcc0cd26b3b6f6d39fb1f7

最简单的校验接口被篡改的方式,你学会了吗?

likaistart
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何防止http请求数据被篡改
weixin_33995481的博客
05-21 9150
2019独角兽企业重金招聘Python工程师标准>>> ...
webapi接口请求数据防篡改
08-17
自己简单实现的一个webapi接口请求时验证客户端传送数据防止篡改的组件,需要客户端配合签名,不懂的想想支付宝的支付接口签名,业务逻辑一样。
接口安全设计之防篡改和防重放
最新发布
m0_61869253的博客
07-12 1724
之所以想跟大家分享怎么做好基础的接口安全,一方面是工作需要,之前这部分的工作是我在负责,所以正好有这部分的经验;二是我之前也接触过很多做后端的同学,对于这一块大部分涉及不深或不太了解,也不知道怎么样做才算相对安全。所以把我的想法写出来,供大家参考和讨论,共同学习和进步。当然了,我分享的也只是我的个人经验,自然有很多的不足之处,也并不是说我后续阐述的一些观点和实现就一定是安全的,大家要加入自己的判断,并且混入一些定制化的东西。
通过request.getHeader("referer")防止用户手动修改URL访问非权限页面
回家换拖鞋的专栏
11-05 5149
在开发web程序的时候,有时我们需要得到用户是从什么页面连过来的,这就用到了referer。 它是http协议,所以任何能开发web程序的语言都可以实现,比如jsp中是: request.getHeader("referer"); php是$_SERVER['HTTP_REFERER']。其他的我就不举例了(其实是不会其他的语言)。 js的话就是这样做:javascript:docum
PHP请求防止参数被篡改和设置请求超时
Selly166的博客
03-14 1273
代码用途,实现URL参数防止篡改、设置请求超时: 仅演示了GET请求,POST原理是一样的 防参数篡改原理,客户端请求带上sign参数,服务端去校验sign参数,sign生成规则:url参数增加一个盐值(保密的参数,只有客户端和服务端知晓),排序后MD5,服务端去进行验证,具体看看代码就理解了; 请求超时(前提防止参数篡改):客户端请求带上time参数,服务端去校验; 客户端请求的代码; //...
HTTP 请求报文的拦截与篡改
04-04
一旦请求被拦截,我们就可以根据需求修改报文的各个部分。例如,可以修改请求方法、URL、添加或删除请求头,或者替换请求体的内容。修改后,需要重新构建完整的HTTP请求报文。 4. **转发篡改后的请求**: 完成...
php防止伪造的数据从URL提交方法
10-25
因为`HTTP_REFERER`头是由客户端浏览器提供的,可以被篡改,或在没有`Referer`头的情况下不起作用。 除了直接检查URL来源,还可以采用更为安全的数据传输方法。例如,使用POST方法传递数据是一种更为安全的选择。...
vue接口请求加密实例
10-14
主要介绍了vue接口请求加密实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
php防止伪造数据从地址URL提交的方法
10-25
因为GET方法会将数据附加在URL中,这使得数据容易被篡改和伪造。而POST方法将数据包含在HTTP请求体中,不容易从地址栏直接观察到数据内容。因此,最佳实践是在表单中使用POST方法来提交敏感数据。 3. 在表单中使用...
支付宝请求参数拼接支付宝请求参数拼接
08-16
- 安全性:正确使用签名机制,防止数据被篡改。 - 异常处理:准备好处理各种可能的错误和异常情况,比如网络故障、参数错误等。 通过以上步骤,开发者能够正确地拼接支付宝请求参数,进而实现与支付宝服务器的交互...
Web安全 【基础】 请求篡改和唯一请求(重放攻击)
言小溪 的博客
10-11 4808
这里给大家直接上工具 js methods: //传入json对象,和key(任意字符串,越长越好),获取md5加密 getMd5(params,key){ let str = JSON.stringify(this.sort_ASCII(params)) return this.$md5(encodeURIComponent(str+key)) } //对json 对象进行 ascii码 排序 sort_ASCII(obj) { var arr = new Array(); var num
Http请求篡改
格子的博客
10-19 7268
签名参数Sign生成方法: 1.将所有的参数通过字母升序排序 2.将排序后的参数按(keyvalue)的方式拼成一个字符串,把请求参数中的&amp;转换成''. 3.把和服务端约定好的验证密钥key放到拼接好字符串的前面,然后MD5 32位加密并转成大写 例如: 假如请求的数据是 http://www.xxx.com/controller/interface?sign=sign_val...
url增加签名验证防篡改
李天泉
11-04 2176
学习给API加上签名加密验证功能,摘抄了腾讯支付的说明书文档 ———————————————————————————————————————————————————————————————— 为了提高传输过程参数的防篡改性,必须使用签名参数sig。 签名参数sig生成的步骤 第1步: 把需要包含在签名中的参数按key升序排序。 具体需要包含哪些参数,见各接口参数说明中关于s
是否为Web应用的URL重写和防篡改策略进行了设置?
ZOMO的博客
03-11 602
**ASP.NET**: 对于使用 ASP.NET 编程语言开发的 Web 应用可借助 Microsoft 的 Web API 实现更复杂的 URL 重写逻辑和功能扩展性。* **mod_rewrite**: 使用 Apache 服务器的 mod\_rewrite 模块来实现动态内容的 URL 重写,该模块内置了丰富的功能且易于配置和使用。* **制定详细的灾难恢复计划**:明确各种可能的灾害情况下的恢复步骤和执行责任人员,并设定合理的时间内恢复业务的目标。
API接口设计:防参数篡改+防二次请求
yuechuzhixing的博客
04-26 2397
API接口由于需要供第三方服务调用,所以必须暴露到外网,并提供了具体请求地址请求参数 为了防止被第别有用心之人获取到真实请求参数后再次发起请求获取信息,需要采取很多安全机制 1.首先: 需要采用https方式对第三方提供接口,数据的加密传输会更安全,即便是被破解,也需要耗费更多时间 2.其次:需要有安全的后台验证机制【本文重点】,达到防参数篡改+防二次请求 主要防御措施可以归纳为两点: 对请求的合法性进行校验 对请求的数据进行校验 防止重放攻击必须要保证请求仅一次有效 需要通过在请求体中携带当
Url参数的安全性处理
weixin_30883311的博客
09-23 826
前几天朋友问我了一个关于Url参数安全性的问题,之前由于做的大多是内部网站,安全性方面几乎是没有涉及到,很多时候就直接将Url中的参数名和参数值直接暴露给了客户端,确实存在很严重的安全隐患。 对于Url参数的处理主要的方法包括了加密参数串,使用Post方法。   比较常用的加密方法是采用Base64的方式对字符串进行加密:    View Code 1...
如何保证接口安全,做到防篡改防重放?
Javatutouhouduan的博客
04-06 4405
对于互联网来说,只要你系统的接口暴露在外网,就避免不了接口安全问题。如果你的接口在外网裸奔,只要让黑客知道接口的地址和参数就可以调用,那简直就是灾难。 举个例子:你的网站用户注册的时候,需要填写手机号,发送手机验证码,如果这个发送验证码的接口没有经过特殊安全处理,那这个短信接口早就被人盗刷不知道浪费多少钱了。 那如何保证接口安全呢?
fiddler篡改请求数据
09-01
8. 在请求编辑器中,您可以修改请求的各个部分,包括 URL请求头、请求体等。您可以根据需要修改数据。 9. 修改完请求后,点击 "Save"(保存)按钮保存修改。 10. Fiddler 将重新发送篡改后的请求,将修改后的数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值