热门标签 | HotTags
当前位置:  开发笔记 > 后端 > 正文

需要_重要的接口需要做哪些检查(转)

出处:  重要的接口需要做哪些检查 在软件开发中有一些接口需要做特殊的检查,

出处:  重要的接口需要做哪些检查

 

在软件开发中有一些接口需要做特殊的检查,以防黑客使用这些接口的漏洞来攻击我们的系统,给公司造成损失。

 

0x01:用户注册接口

一、每一个完整的软件系统都有一套完善用户体系,注册接口至少存在以下风险点:


  • 存在被机器人进行批量注册、产生大量僵尸用户


  • 恶意注册


如果存在被机器人批量注册的漏洞,就可能造成正常用户无法注册的情况。因为机器人批量注册时,可能的导致系统带宽、服务器资源被大量占用。

 

二、注册接口需要进行如下检查


  • 是否实现了人机识别,防止机器注册


  • 是否接入风控系统,防止褥羊毛的小号注册。很多app进行地推时,都对新用户进行一些优惠


  • 是否实现了对同一个设备访问注册接口的频率限制


 

0x02:登录接口

只要黑客攻破了登录接口,系统就没有任何安全性可言了。所以登录接口一定要防止系统账号对系统的暴力破解。


  • 登录接口是否实现了人机识别,防止系统账号暴力破解


  • 是否实现了同一个设备对该接口得分访问频率的限制


  • 登录身份验证失败时,是否做了模糊处理,比如“用户名或者密码错误”;而不是使用明确的错误信息,例如“用户名错误”,“密码错误”。等明确错误提示。


 

0x03:忘记密码接口和修改密码接口

忘记密码接口和修改密码接口,是否做了严格的身份认证。


  • 是否在服务端进行了身份认证,避免绕过前端控制


  • 身份验证的凭证是否在服务器进行了存贮和加密处理,避免将验证的内容直接返回给客户端


  • 在多个环节的身份验证中,要有各验证的排序机制,防止跳过多个环节认证的任何一个环节,而直接跳到最后一个环节的认证


  • 确保短信验证码发送到的是经过验证的手机号、邮箱地址。例如手机号、邮箱地址是从系统数据库中读取的手机号和邮箱

     


0x04:重要接口是否有短信、邮件、语音、图形等验证码

短信、邮件和语音验证功能控制不当,容易被恶意利用;造成短信炸弹、邮件轰炸和电话轰炸等滥用问题。短信、邮件和语音验证功能如果设计存在缺陷,容易被破解,给公司造成损失。


  • 验证信息是否具有一次性,防止回放。服务端在收到一次性验证请求后是否对验证信息进行了失效处理


  • 是否对验证发送的频次进行了有效控制,建议60s获取一次


  • 验证码是否有有效期;超时后是否实现了实效处理。建议短信验证码有效时间为60s或者120s


  • 短信、邮件和语音验证接口是否实现了人机识别,防止恶意攻击、恶意调用


  • 验证码对应的验证业务场景是否做好了严谨的逻辑控制。所有验证逻辑应该在服务器完成, 防止绕过前端控制


  • 如果能够实现,最好完成短信、邮件、语言接收手机/邮件与账号的对应关系的验证


 

0x05:支付接口和提现接口

所有的系统,关系到钱的问题都是大问题。所有支付接口一定要实现防篡改功能。


  • 是否实现了对支付金额、购买商品数量的校验,避免出现低价购买或者负金额购买。购买的支付金额最低是零元购买


  • 是否进行了多重身份验证,如短信验证码验证、支付密码验证等


  • 是否对提现账号进行了有效的身份验证,避免出现交叉越权,提现别人的金额


  • 是否对支付或者提现金额做了非常有效的校验,防止出现提现金额被篡改


 


推荐阅读
  • 探索Squid反向代理中的远程代码执行漏洞
    本文深入探讨了在网站渗透测试过程中发现的Squid反向代理系统中存在的远程代码执行漏洞,旨在帮助网站管理者和开发者了解此类漏洞的危害及防范措施。 ... [详细]
  • 福克斯新闻数据库配置失误导致1300万条敏感记录泄露
    由于数据库配置错误,福克斯新闻暴露了一个58GB的未受保护数据库,其中包含约1300万条网络内容管理记录。任何互联网用户都可以访问这些数据,引发了严重的安全风险。 ... [详细]
  • 本指南详细介绍了金仓数据库KingbaseES的安全威胁及应对措施,旨在帮助用户更好地理解和实施数据库安全保护。 ... [详细]
  • 深入解析SSL Strip攻击机制
    本文详细介绍了SSL Strip(一种网络攻击形式)的工作原理及其对网络安全的影响。通过分析SSL与HTTPS的基本概念,探讨了SSL Strip如何利用某些网站的安全配置不足,实现中间人攻击,以及如何防范此类攻击。 ... [详细]
  • 深入解析Redis内存对象模型
    本文详细介绍了Redis内存对象模型的关键知识点,包括内存统计、内存分配、数据存储细节及优化策略。通过实际案例和专业分析,帮助读者全面理解Redis内存管理机制。 ... [详细]
  • 本文探讨了Java编程的核心要素,特别是其面向对象的特性,并详细介绍了Java虚拟机、类装载器体系结构、Java类文件和Java API等关键技术。这些技术使得Java成为一种功能强大且易于使用的编程语言。 ... [详细]
  • 阿里云ecs怎么配置php环境,阿里云ecs配置选择 ... [详细]
  • 雨林木风 GHOST XP SP3 经典珍藏版 V2017.11
    雨林木风 GHOST XP SP3 经典珍藏版 V2017.11 ... [详细]
  • 本文详细介绍了优化DB2数据库性能的多种方法,涵盖统计信息更新、缓冲池调整、日志缓冲区配置、应用程序堆大小设置、排序堆参数调整、代理程序管理、锁机制优化、活动应用程序限制、页清除程序配置、I/O服务器数量设定以及编入组提交数调整等方面。通过这些技术手段,可以显著提升数据库的运行效率和响应速度。 ... [详细]
  • 本文深入探讨了SQL数据库中常见的面试问题,包括如何获取自增字段的当前值、防止SQL注入的方法、游标的作用与使用、索引的形式及其优缺点,以及事务和存储过程的概念。通过详细的解答和示例,帮助读者更好地理解和应对这些技术问题。 ... [详细]
  • 1.执行sqlsever存储过程,消息:SQLServer阻止了对组件“AdHocDistributedQueries”的STATEMENT“OpenRowsetOpenDatas ... [详细]
  • 本文回顾了2017年的转型和2018年的收获,分享了几家知名互联网公司提供的工作机会及面试体验。 ... [详细]
  • 本文详细介绍了如何解决 Microsoft SQL Server 中用户 'sa' 登录失败的问题。错误代码为 18470,提示该帐户已被禁用。我们将通过 Windows 身份验证方式登录,并启用 'sa' 帐户以恢复其访问权限。 ... [详细]
  • 近期,谷歌公司的一名安全工程师Eduardo Vela在jQuery Mobile框架中发现了一项可能引发跨站脚本攻击(XSS)的安全漏洞。此漏洞使得使用jQuery Mobile的所有网站面临潜在的安全威胁。 ... [详细]
  • 基于Java的学生宿舍管理系统设计
    本论文探讨了如何利用Java技术设计和实现一个高效的学生宿舍管理系统。该系统旨在提高宿舍管理的效率,减少人为错误,同时增强用户体验。通过集成用户认证、数据管理和查询功能,系统能够满足学校宿舍管理的多样化需求。 ... [详细]
author-avatar
j7988l28
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有