如何防止别人用抓包工具篡改接口参数?

最新推荐文章于 2024-05-14 21:55:40 发布
最新推荐文章于 2024-05-14 21:55:40 发布
阅读量2.3k 收藏 1
点赞数
文章标签: java 数据库 前端 ViewUI
原文链接:http://www.cnblogs.com/pickKnow/p/11281298.html
版权

1,案例

1 分钱买带电脑。购买电脑,在调用支付接口之前,利用类似Fiddler等抓包工具,定位到支付接口,将参数(金额)修改为0.01元。结果是:电脑购买成功,一个月之后成功入狱。

2,怎么避免让别人用抓包工具修改参数呢?

    基于token 方式隐藏参数。

   

3,代码实现

@RestController
public class PayController extends BaseApiService {
    @Autowired
    private BaseRedisService baseRedisService;
    private static long timeToken = 15 * 60l;

    @RequestMapping("/pay")
    public ResponseBase pay(String token) {
        // 获取提交参数 数据库保存.,
        if (StringUtils.isEmpty(token)) {
            return setResultError("token 不能为空!");
        }
        String reuslt = (String) baseRedisService.getString(token);
        if (StringUtils.isEmpty(reuslt)) {
            return setResultError("参数不能空!");
        }
        System.out.println("获取提交的参数reuslt:" + reuslt);
        return setResultSuccess("获取提交的参数reuslt:" + reuslt);
    }

    @RequestMapping("/getToken")
    public String pay(Long userId, Long money) {
        String payToken = UUID.randomUUID().toString();
        baseRedisService.setString(payToken, userId + "-" + money, timeToken);
        return payToken;
    }

}

 

转载于:https://www.cnblogs.com/pickKnow/p/11281298.html

weixin_30642029
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php开发中如何防止抓包工具伪造请求
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
04-14 551
防止抓包工具伪造请求,采取一系列的技术和策略来增强应用程序的安全性。
java APP抓包工具
08-23
抓包工具可以帮助我们捕获并分析应用程序与服务器之间的网络交互,包括请求参数、响应数据以及HTTP头信息等,这对于调试接口问题、优化性能或检测安全漏洞非常有用。 标题中的“java APP抓包工具”指的是用于Java...
网络安全之如何防御黑客抓包篡改数据(下)
zyxpython的博客
05-07 377
用户客户端发送请求,然后在http协议请求前使用抓包工具进行抓包,然后修改数据后再传到服务器端,或者就是请求传送到服务器端后,返回数据响应时,抓包工具进行抓包然后篡改数据,这一行为发生在http协议请求后,将相应参数的数据修改后,比如修改用户支付金额=1000到用户支付金额=1,然后传回客户端。上一篇文章中提到的抓包工具来进行数据的篡改再返回错误数据,比如当用户支付时付款1000,抓包后直接修改数据改成金额=1,这样就会造成用户和商户之间的经济损失。下一篇文章我会为大家来解读一下如何验证签名。
用burp或fiddler+Proxifier 抓PC端exe程序数据包
最新发布
键盘的起始页
05-14 1676
Proxifier v3.42中文版,官方正版,免费,exe抓包工具,下载地址:https://download.csdn.net/download/ab6326795/89307897。
网络安全之如何防御黑客抓包篡改数据(上)
zyxpython的博客
05-07 620
首先,如果一个黑客在公共场合创建了一个免费的wifi,当用户的客户端连接上后,黑客会在后台使用抓包工具拦截信息,这样就可以知道你在干嘛,看什么网页,和谁在聊天。抓包工具:http协议调试工具。最简单的一个就是我们每天在使用的浏览器的F12,可以查看源码或者抓包参数等。能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容。是在windows上运行的程序,专门用来捕获HTTP,HTTPS的。这里可以拦截所有经过网页的请求。
防止抓包工具篡改数据(4)
ls_call520的专栏
01-10 108
防止抓包工具篡改数据
java第三课-如何防御XSS攻击与防止抓包篡改数据
shixiezhilong的博客
08-23 2244
这次学习的是接口方面的安全问题,对于日常工作比较契合,首先是XSS攻击和接口参数篡改,常见的是在问题提交中加入HTML的代码或者脚本进行操作。抓包和篡改主要是通过抓包工具fiddler对接口参数进行请求拦截和参数篡改。 对于XSS攻击的防御有很多种,这种算是比较容易的。 前端对提交的文本内容可以进行过滤以及转义。 后端通过拦截器或过滤器对请求参数进行标签转义或直接使用框架提供的API(StringEscapeUtils.escapeHtml4(value))进行过滤。 抓包和篡改...
Fiddler抓包工具,适用于调试移动端接口
08-13
**Fiddler 抓包工具详解** Fiddler是一款强大的网络封包分析工具,由Telerik公司开发,广泛应用于Web应用程序的调试,特别是在移动端接口调试中有着不可替代的作用。它能够帮助开发者、测试人员和安全专家捕捉、...
httpCarry-app快速抓包软件
12-23
HttpCanary黄鸟抓包工具是专为安卓用户打造的手机软件,可以对手机进行实时监控,防止有恶意软件篡改手机系统,使用又安全。这款强大的抓包工具,还带有分析工具,可以当做是一个移动端的Fiddler或者Charles。在手机...
fiddler网络抓包分析软件
11-02
总的来说,fiddler是一款强大的网络诊断工具,它的灵活性和可扩展性使其在众多网络抓包工具中独树一帜。无论你是开发者、测试人员还是网络管理员,掌握fiddler都能显著提升你的工作效率,帮助你在复杂网络环境中...
抓包该报burpsuite
12-28
标题中的"抓包该报burpsuite"表明我们将讨论如何利用BurpSuite进行网络数据包的捕获和分析,以及如何针对这些数据包进行篡改以进行安全测试。 BurpSuite的核心功能之一是其强大的代理服务器,它能够拦截并修改HTTP...
互联网安全架构平台设计之防止抓包篡改数据
李永志的博客
01-22 7272
抓包(packet capture)就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作,也用来检查网络安全,抓包也经常被用来进行数据截取等。 抓包工具是拦截查看网络数据包内容的软件,通过对抓获的数据包进行分析,可以得到有用的信息。
网络安全——防止被抓包
CSDN_430422的博客
06-29 1193
安全套接字层 (Secure Socket Layer, SSL) 是用来实现互联网安全通信的最普遍的标准。Web 应用程序使用 HTTPS(基于 SSL 的 HTTP),HTTPS 使用数字证书来确保在服务器和客户端之间进行安全、加密的通信。在 SSL 连接中,客户机和服务器在发送数据之前都要对数据进行加密,然后由接受方对其进行解密。
网络安全中防御黑客抓包篡改数据核心:md5单向加密实现原理分析
zyxpython的博客
05-07 345
客户端真实发送请求为:后面有签名,相当于加一个参数,相当于我们的客户端发送请求的时候带的签名,相当于对我们整个参数做一个md5值得出一个签名。使用md5单向加密的原因就是因为md5属于单向加密,所以不能进行解密,只可以进行暴力破解。哪怕抓包数据被篡改,但是通过md5签名去做验证的时候发现值发生了变化,说明出现了问题。因为通过验证签名,比对参数后,可以发现参数是否发生变化来判断数据是否被篡改。例如:https://www.cmd5.com/所以,一般密码都会选择md5加密。
如何解决APP抓包问题【网络安全】
瓦罗兰特顶级C位的博客
03-24 2071
目前市场上的APP都会为防止别人恶意盗取和恶意篡改进行一些保护措施,比如模拟器检测、root检测、APK加固、代码混淆、代码反调试、反脱壳、签名校验等等对抗机制。
防止数据抓包窃取
weixin_44969136的博客
09-20 1385
简述:当用户登录时,恶意gj者可以用抓包工具可以拿到用户提交的表单信息,可以获取用户的账号密码,进而可以恶意访问网站。
Java实现接口篡改
javaeEEse的博客
05-06 3926
文章目录一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warni
API接口防止参数篡改和重放攻击
wwwwww33的博客
04-16 473
API重放攻击(Replay Attacks)又称重播攻击、回放攻击。他的原理就是把之前窃听到的数据原封不动的重新发送给接收方。HTTPS并不能防止这种攻击,虽然传输的数据是经过加密的,窃听者无法得到数据的准确定义,但是可以从请求的接收方地址分析出这些数据的作用。比如用户登录请求时攻击者虽然无法窃听密码,但是却可以截取加密后的口令然后将其重放,从而利用这种方式进行有效的攻击。 所谓重放...
F12调试工具抓包、拦截、篡改操作步骤编写
05-25
以下是使用 F12 调试工具进行抓包、拦截、篡改的步骤: 1. 打开浏览器,进入需要抓包、拦截、篡改的网站; 2. 按下 F12 键,打开开发者工具; 3. 在开发者工具中切换到“网络”选项卡; 4. 刷新页面,查看请求和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值