php重放,Api 接口安全-防篡改,防重放理解总结

最新推荐文章于 2023-04-06 13:05:29 发布
最新推荐文章于 2023-04-06 13:05:29 发布
阅读量506 收藏 3
点赞数
文章标签: php重放

防篡改

为什么要防篡改

http 是一种无状态的协议, 服务端并不知道客户端发送的请求是否合法, 也并不知道请求中的参数是否正确

举个栗子, 现在有个充值的接口, 调用给用户对应的余额

http://localhost/api/user/recharge?user_id=1001&amount=10

给指定id的用户加上10块钱的余额

如果用户id被篡改,余额参数被篡改,也就是说,可以给任何用户加余额

如何防篡改 - 设计sign

客户端: 每次请求客户端都带一个 sign 参数给服务端, 这个所谓的 sign 就是一个字符串

服务端: 每次处理请求之前先验证 sign 是否合法, 如果不合法就不处理

生成 sign 和验证 sign: 怎么生成和验证, 需要客户端和服务端约定好

3.1. 客户端生成 sign: 可使用 公私钥非对称加密 的方式, 也可以使用计算字符串 md5 或者 hash 值的方式, 这个被加密的字符串最好不是固定的,取时间戳, 请求参数等就可以, 每次客户端把生成sign传递给服务端

3.2. 服务端根据约定好的算法验证sign是否正确就可以

不一定非得叫 sign 这么个名字, 就是个请求参数的名称而已

http://localhos/api/assets/recharge?id=1001&amount=10&sign=asdfasdf6sdfs87f67

防重放

设计了防篡改之后, 接口总算是安全了那么一点点, 但是还不够...还需要对接口设计防重放设置

为什么要防重放

防重放也叫防复用,简单来说,就是我获取到这个请求的信息之后, 我什么也不改, 我就拿着接口的参数去 重复请求这个充值的接口,也就是说我的请求是合法的, 因为所有参数都是跟合法请求一模一样的,也就是说: 服务端的 sign 验证一定能通过, 但是此时, 我可以去重复请求这个充值的接口, 也就是我能够重复的充值(假设这个接口没有做其他逻辑处理,调用就能充值,我只是假设, 别抬杠), 调用一次加 10 块钱余额, 2次就是20...这就不合理了

防重放设计

客户端在请求中添加两个参数

1.1 添加一个随机不重复的字符串参数 比如uuid 至于怎么让他不重复,可以考虑拼接时间戳,md5随机数等

1.2 添加一个请求时间的参数 如 request_time 值就是发送请求时的 时间戳

服务端接收到请求之后:

2.1 去缓存里中查找 uuid 这个参数对应的值是否存在

2.2 如果不存在: 就把这个uuid的值保存到缓存中, 记录这个请求

2.3 如果已存在: 存在那就证明, 已经请求过一次了, 就不处理这个请求了

缓存可以是redis也可以是其他存储介质,应该给缓存设计过期时间,因为请求多了,就会有大量的 uuid 保存在缓存中

参考

http://localhos/api/assets/recharge?id=1001&amount=10&sign=asdfasdffs87f67&request_time=1561095355627&uuid=1561095355627aUjKs

啸倚孤剑
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
API接口止参数篡改重放攻击
Little SunShine
08-17 1万+
API重放攻击(Replay Attacks)又称重播攻击、回攻击。他的原理就是把之前窃听到的数据原封不动的重新发送给接收方。HTTPS并不能止这种攻击,虽然传输的数据是经过加密的,窃听者无法得到数据的准确定义,但是可以从请求的接收方地址分析出这些数据的作用。比如用户登录请求时攻击者虽然无法窃听密码,但是却可以截取加密后的口令然后将其重放,从而利用这种方式进行有效的攻击。 所谓重放...
【黄啊码】PHP如何止重复提交
最新发布
黄啊码
09-06 1109
抖(Debounce)是一种止重复提交的策略,它通过延迟一定时间来合并连续的操作,以确保只执行一次。在前端使用 JavaScript 实现抖,可以利用setTimeout函数来延迟执行提交操作。let timer;}, delay);// 在这里执行表单提交操作}, 1000);// 延迟 1 秒执行在后端使用 Session 可以止重复提交。在提交之前,将一个 token 存储在 Session 中,然后在提交后验证 token 是否匹配。
PHP——AES加解密 +SIGN校验唯一性安全性(Api)
weixin_39612508的博客
12-27 979
在这里插入图片描述 sign(客户端和服务端约定的加盟方式) 验签每次http请都在header中 Header中一些基础的参数 比如sign , version 版本号 , app_type 客户端类型 model:手机类型 小米 华为… sign如何生成? 1:AES对称加密算法 2:sign算法生成 2:sign的唯一性 (1)写入静态文件中 (2)写入mysql中 (3)...
php抓包设置参数_PHP接口请求参数篡改检验方案
weixin_35716518的博客
03-09 519
目的接口请求的参数如果没做篡改的参数校验,攻击者可以拦截接口并修改参数,这样后端是不知道参数从前端发起后是否被篡改。比如小游戏游戏部分在前端,完成游戏后提交成绩给后端,攻击者可以抓包请求进行拦截篡改游戏成绩,这点已经被证明是可行的。基于此,打算指定一套前端与后端约定的参加校验规则,提高篡改数据的难度。真正篡改数据很困难,因为加密规则都在前端代码里,有一定技能的人还是可以通过看前端代码获得加密...
如何保证接口安全,做到篡改防重
Javatutouhouduan的博客
04-06 4280
对于互联网来说,只要你系统的接口暴露在外网,就避免不了接口安全问题。如果你的接口在外网裸奔,只要让黑客知道接口的地址和参数就可以调用,那简直就是灾难。 举个例子:你的网站用户注册的时候,需要填写手机号,发送手机验证码,如果这个发送验证码的接口没有经过特殊安全处理,那这个短信接口早就被人盗刷不知道浪费多少钱了。 那如何保证接口安全呢?
【SpringBoot】之接口设计篡改防重攻击
王廷云的博客
09-12 5132
本文讲解JavaWeb开发过程中可能出现的接口被拦截和参数被篡改的问题;然后介绍了如何进行有效安全范;最后介绍了如何通过参数加密和签名校验的方式进行有效范。
Java请求中关于如何避免防重攻击
weixin_42960380的博客
06-25 7512
重放攻击介绍 (入侵者从网络上截取主机A发送给主机B的报文,并把由A加密的报文发送给B,使主机B误以为入侵者就是主机A,然后主机B向伪装成A的入侵者发送应当发送给A的报文。–介绍引用网址https://www.jianshu.com/p/7887f16581c0 御手段 重放攻击的方法是使用不重数 加随机数 该方法优点是认证双方不需要时间同步,双方记住使用过的随机数,如发现报文中有以前使用...
PHP开发api接口安全验证操作实例详解
10-15
总结来说,PHP API接口安全验证涉及到多个方面,包括但不限于时间戳、随机数、口令或token的使用,以及合适的加密算法。开发人员需要根据实际需求选择合适的验证策略,并确保前后端对验证规则的一致性,以达到最佳...
PHP开发api接口安全验证的实例讲解
10-18
下面小编就为大家分享一篇PHP开发api接口安全验证的实例讲解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
dnspod-api-php-web:DNSPod API PHP Web示例
05-29
DNSPod API PHP Web 示例 功能说明 用 PHP 实现了一个 DNSPod API 的 Web 示例,已完成对域名和记录的基本操作,可直接使用。 已调整为只支持通过 Token 登录,请到 DNSPod 用户中心创建 API Token 获取 Token ID 及...
JAVA实现防重攻击和接口签名
weixin_45853776的博客
07-20 1960
概念 防重攻击 重放攻击(Replay Attacks):攻击者 截取了从A发送给B的一个有效请求,然后重新发送给B,这样就获取了B应该返回给A的数据。或发起海量请求使服务器崩溃。 重放攻击的基本原理:把以前窃听到的数据原封不动地重新发送给接收方。很多时候,网络上传输的数据是加密过的,此时窃听者无法得到数据的准确意义。但如果他知道这些数据的作用,就可以在不知道数据内容的情况下通过再次发送这些数据达到愚弄接收端的目的。例如,有的系统会将鉴别信息进行简单加密后进行传输,这时攻击者虽然无法窃听密码,但他们
接口安全----接口刷(拦截器)
qq_47614329的博客
01-03 1084
接口安全----接口刷(拦截器)
接口签名防重详细开发文档(接口安全)
AdleyTales的技术博客
06-27 1万+
接口签名防重详细开发文档 公共参数 参数名称 是否必填 参数描述 nonce 是 唯一值,用来标识接口请求的唯一性,例如使用UUID值,示例:40A6A065-4DB7-4999-8F7F-F6D051D9B02C timestamp 是 时间戳,从1970年1月1日据当前时间的毫秒数 示例:1529373808 vId ...
初级web api的设计(二)——防重攻击
Archmage的专栏
12-03 5244
在针对数据系统的攻击中,重放攻击是最常见的攻击方式,API的设计中需要特别考虑设计好如何重放攻击重放攻击(Replay Attacks)指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击防重攻击中,最重要的手段是给消息打上一个唯一、不可以重新生成的编号,保证这个编号只能使用一次。一、利用timestamp。在参数中加入timest
如何有效API重放攻击
LU_ZHAO的博客
03-31 1223
API重放攻击(Replay Attacks)又称重播攻击、回攻击,这种攻击会不断恶意或欺诈性地重复一个有效的API请求。攻击者利用网络监听或者其他方式盗取API请求,进行一定的处理后,再把它重新发给认证服务器,是黑客常用的攻击方式之一。 https://help.aliyun.com/knowledge_detail/50041.html HTTPS数据加密是否可以重放攻击? 否,加密可以...
【添加时间戳重放攻击
热门推荐
HilaryHe
07-01 1万+
如过客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,虽然第三方无法解密获取其中的数据,但是可以使用该请求包进行重复的请求操作。如果服务端不进行防重攻击,就会参数服务器压力增大,数据紊乱的后果。而使用添加时间戳的方式可以解决这一问题。 private readonly string TimeStamp = ConfigurationManager.
PHP Api 接口认证
a1038546502的专栏
09-17 347
开发环境 ubuntu php 7.4.8 ------------------------------------------------------------------------------------------------------------------------------ /* 私钥签名 * @param $string * @param $key * @return string * */ function privateSign($string , $
逻辑漏洞----其他类型
qq_44418229的博客
08-03 1692
逻辑漏洞---数据包重放,条件竞争,订单金额,端口无限枚举,支付漏洞,越权支付,无限制试用,总结
重新写一个php api接口 增加安全
05-30
好的,以下是一个增加了安全措施的 PHP API 接口,用于返回固定的文字: ```php <?php // 跨域访问控制 header('Access-Control-Allow-Origin: *'); header('Access-Control-Allow-Methods: GET, POST, PUT, ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值