接口安全
1、Token授权机制:(Token是客户端访问服务端的凭证)–用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。
2、时间戳超时机制:(保证了数据不会被篡改)用户每次请求都带上当前时间的时间戳timestamp,服务端接收到timestamp后跟当前时间进行比对,如果时间差大于一定时间,则认为该请求失效。时间戳超时机制是防御DOS攻击的有效手段。
3、签名机制:将 Token 和 时间戳 加上其他请求参数再用MD5或SHA-1算法(可根据情况加点盐)加密,加密后的数据就是本次请求的签名sign,服务端接收到请求后以同样的算法得到签名,并跟当前的签名进行比对,如果不一样,说明参数被更改过,直接返回错误标识。
PHP网站主要存在的几种攻击方式
1、跨站脚本攻击(xss):
恶意攻击者通过往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
防御方法:
需要对用户的输入进行处理,只允许输入合法的值,其它值一概过滤掉。
2、SQL注入(sql injection):
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
防御方法:
严格控制数据类型;
对特殊的字符进行转义,如addslashes等;
SQL语句书写尽量不要省略小引号和单引号;
过滤掉SQL语句中的一些关键词:update、insert、delete、select、and、*;
提高数据库命名技巧,对一些重要的字段根据程序的特点命名,取不易被猜到的;
3、跨站请求攻击(CSRF):
CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSS,CSRF是利用了系统对页面浏览器的信任,XSS则利用了系统对用户的信任。
防御方法:
为每一个表单生成一个随机数秘钥,并在服务器端建立一个拦截器来验证这个token,如果请求中没有token或者token内容不正确,则认为可能是CSRF攻击而拒绝该请求
4、上传漏洞:
文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器,服务器未经任何检验或过滤,从而造成文件的执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。
防御方法:
文件扩展名服务端白名单校验;
文件内容服务端校验;
上传文件重命名;
隐藏上传文件路径;
文件上传的目录设置为不可执行;
4060
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
