文档章节

大话程序猿眼里的接口

unibigbear
 unibigbear
发布于 2016/06/07 17:19
字数 1973
阅读 9
收藏 1
点赞 1
评论 0

开场

   魂淡别碰的孩子(接口), 作为后端程序猿自己写的接口就像自己的孩子一样,尽然制造出来了,那就要对他以后的人生负责到底。
        随着业务的壮大,需要支撑业务接口也越来越多,使用的用户量变大,虎视眈眈的黑客们视机而动,总是在业务中寻找着可以窃取他人利益的入口,所以我们应该多考虑安全性问题,防范于未然。

 

场景

        服务端程序猿根据需求开发出业务相关的接口,用来满足需求中用户和服务器交互的功能,提供给前端或者客户端(PC端软件,APP端应用)使用, 大部分程序猿在开发接口的时候就仅仅去考虑如何实现业务上的逻辑功能,而往往很少会去考虑接口的安全性问题, 一般服务端提供的接口都是http协议的,通过Fiddler,Wireshark,Charles等抓包工具,可以抓取到http请求,然后进行分析,模拟请求,进行并发请求,或者修改信息的攻击。

 


 

例子:

 

问题1. 接口暴露用户隐私信息就相当于在光天化日下裸奔,被看光了:

 

描述:程序猿在做业务接口的时候往往没有保护用户隐私的意识,把用户的隐私信息暴露在外面,一旦被人利用起来会给用户带来麻烦,同时被发现会降低平台的信任度。

防:

  1. 用户隐私数据加密,加*号,如用户的相关数据的JSON中有用户手机号,用户邮箱,支付账号,邮寄地址等隐私数据;

  2. 用户请求接口时需要对其隐私参数加密:如用户登陆请求登陆接口,需要将用户密码进行可逆加密,以免接口被恶意代理捕捉请求后获取明文密码;

  3. 分享出去的地址中不要用明文的用户ID,或者用户登录的token。

     


问题2. 接口暴露敏感信息,就像把钥匙插在钥匙口没拔掉一样,只要你会开门就能进去:

用户参与活动的数据JSON集合中不要有活动相关业务逻辑的决定性的数据,如:竞拍出价活动,出价唯一最低者拿奖品,结果获取出价的接口暴露了所有出价的价格统计结果。

防:

  1. 数据中需要将敏感字段,或者对业务有着决定性作用的字段中的部分字符串加*。


 

问题3.数据被人顺手带走(主业务接口相关JSON数据 如:首页商品列表数据)

描述:接口中的JSON数据会被其他人拿去做自己的相关的功能;这样就造成了服务器的额外支出。

防:

  1. IP请求量限制,时间范围内请求量限制,等各种限制IP请求的规则, 
    如:统计记录(可以记录到mongdb中),定时监控记录发现请求量大于限制的数量就进行IP封杀;

  2. 请求头的校验,如:User-Agent 校验请求头是不是APP客服端发起,Referer 是不是有来源,来源域名是不是自己的域名地址等(这种方式只能是多一个门槛)。


 

问题4.移花接木,恶意修改请求信息(修改参数,COOKIE,请求头信息):

描述:通过修改请求中的参数来发起的请求,如:登陆接口修改用户名和用户密码,进行密码库碰撞等。

温馨提示:
修改请求参数可能会导致很多安全性问题,如:SQL注入,XSS 跨站脚本攻击等,传送亲们我的【大话程序猿眼里的WEB安全】有相关的介绍和解决方案 ;
以下方案都针对客户端,如PC软件和APP,WEB端JS去做加密的话不是很推荐,JS代码是暴露出来的,所以如果用JS做加密一定要混淆JS代码。

防:

  1. 增加一个签名参数,将参数名进行逻辑的排序组合拼接+秘钥MD5,然后服务端接受到请求的时候也用同样的逻辑得到签名与签名参数进行对比是否相同,这样可以使参数无法被修改,修改了就提示非法请求。 如: 接口http://www.test.com/go/?actid=1&userid=123 我们可以加一个sign参数= MD5(actid=1&userid=123&【secret】)【secret】=秘钥,自己定义。 服务端用一样的逻辑得到密文和sign签名进行对比是否一样,不一样就提示非法请求;

  2. 整个参数内容进行可逆的加密;

  3. 限制参数范围,如:支持分页接口,很多人会为了方便使用,加了参数就是pagesize(一页的数据量),当没有去限制页码最大值得时候,如果表数据量很大,然后攻击者修改pagesize参数为N万,然后数据库就奔溃了,相关业务就挂了。


 

问题5.影分身术,模拟请求,发起并发请求

描述:通过抓包工具抓到请求后模拟请求,如:模拟每日签到请求,或者直接发起每日签到的并发请求。 

 

温馨提示:当请求并发后如何保证数据的完整性,一致性问题,这也是平时开发很需要注意的问题,传送门我的【大话程序员眼里的高并发】有相关的介绍和解决方案。

防:

  1. 模拟并发请求,IP限制同上问题2的解决方案;

  2. 请求信息带上时间(可逆加密的时间),服务端获取时间,超过限定时间的返回请求超时(目的使抓取到的请求不是一直有效的);

  3. 用户token,等标识用户重要的信息数据,保存COOKIE需要设置过期时间,或者加密的明文里要有创建的时间,服务端做对应的时间失效的限制,这样即使COOKIE被别人盗取,模拟请求也会随着时间而失效。


 

总结

       我们需要提高自己的安全意识,防范于未然,要多站在攻击者的角度来看自己的接口;(让自己有一种被害妄想症的感觉,你就离精神病近了一步,哈哈……)不要做开发需求的机器人,我们是有思想有创造力的开发者;


 

附加个人开发流程

1、在评审需求的时候要把业务逻辑问题提出来,并给予解决方案的选择; 
2、确定需求后将整个业务逻辑的梳理清楚,复杂的可以画出流程图; 
3、根据需求设计实现方案,需要考虑性能问题[数据库压力,服务器压力],安全问题,用文档的形式记录下自己的设计方案。(可以深入到代码层面如何去实现); 
4、列出需求中功能点,评估出自己的时间,得到总工时; 
5、开始开发,开干。

由于上传附件及文字限制,有时部分图片、文字可能显示不了,详情请见:http://mp.weixin.qq.com/s?__biz=MzI5ODI3NzY2MA==&mid=100000761&idx=2&sn=2a51947f42aeaca27a59ef248babff2e#rd
欢迎大家一起交流。
扫描以下二维码,获取更多更精美文章!(扫码关注有意向不到的惊喜的哦!!)
 
关注我们微信订阅号( uniguytech100) 与服务号(uniguytech),获取更多更精美文章!
也欢迎加入【大家技术网讨论QQ群】,群号码:256175955,请备注你个人的介绍!让我们一起聊聊it的那些事!

本文转载自:http://mp.weixin.qq.com/s?__biz=MzI5ODI3NzY2MA==&mid=100000761&idx=2&sn=2a51947f42aeaca27a59ef248...

共有 人打赏支持
unibigbear
粉丝 1
博文 70
码字总数 5874
作品 0
闵行
大话接口隐私与安全

作为后端程序猿自己写的就像自己的一样,尽然制造出来了,那就要对他以后的人生负责到底; 随着业务的壮大,需要支撑业务接口也越来越多,使用的用户量变大,虎视眈眈的黑客们视机而动,总是...

macro_cj
2016/11/18
9
0
大话接口隐私与安全

作为后端程序猿自己写的就像自己的一样,尽然制造出来了,那就要对他以后的人生负责到底; 随着业务的壮大,需要支撑业务接口也越来越多,使用的用户量变大,虎视眈眈的黑客们视机而动,总是...

庄生晓梦V
2016/11/16
8
0
大话程序猿眼里的高并发

简单理解下高并发: 高并发是指在同一个时间点,有很多用户同时的访问URL地址,比如:淘宝的双11,双12,就会产生高并发,如贴吧的爆吧,就是恶意的高并发请求,也就是DDOS攻击,再屌丝点的说法...

oschina
2016/05/17
17.2K
23
大话程序猿眼里的高并发架构

前言 高并发经常会发生在有大活跃用户量,用户高聚集的业务场景中,如:秒杀活动,定时领取红包等。 为了让业务可以流畅的运行并且给用户一个好的交互体验,我们需要根据业务场景预估达到的并...

落叶追风
2016/11/25
34
0
大话程序猿眼里的高并发架构

前言 高并发经常会发生在有大活跃用户量,用户高聚集的业务场景中,如:秒杀活动,定时领取红包等。 为了让业务可以流畅的运行并且给用户一个好的交互体验,我们需要根据业务场景预估达到的并...

chaun
2016/11/13
25
0
大话程序猿眼里的高并发架构

前言 高并发经常会发生在有大活跃用户量,用户高聚集的业务场景中,如:秒杀活动,定时领取红包等。 为了让业务可以流畅的运行并且给用户一个好的交互体验,我们需要根据业务场景预估达到的并...

SFLYYQ
2016/11/04
754
1
给你这些,让你拥有半个互联网技术圈!

IT行业技术变更周期越来越快,作为技术人最重要的是持续学习,现在的学习途径有很多,我们到底该如何做出选择?我觉得最重要有两方面:第一,需要保持良好的技术视野,持续关注行业内技术新动...

bntx2jsqfehy7
04/13
0
0
美剧《硅谷》第5季第6集观后随感

该剧主要描述硅谷的程序猿发家史,演员大都非常年轻。故事描述四个不善社交但绝顶聪明的计算机程序员受到依靠互联网站发家的百万富翁的特殊照顾。他们可以免费住在他家中,但他们的项目日后如...

newtrek
05/03
0
0
在github gist上添加图片

在github gist上添加图片 前言 github不说了吧,谈谈gist,引用wiki一段话(注意红色字体): GitHub also operates other services: apastebin-style site called Gist[8] that provides wikis......

LianyouCQ
2013/08/11
0
0
接口自动化测试(一):关于接口

题外话 挺久没更新了,最近终于挤时间弄出来了后面要分享的文章大纲及开篇,前面分享的文章大部分是从UI自动化测试和开发的角度,后续将开始接口自动化测试相关专题,会从基础到提升逐步展开...

测试开发栈
2017/11/08
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

zk实战--rpc框架集群化

在看此篇内容时需要浏览下面内容 netty实战--手写rpc框架 前文功能简介以及功能扩充 利用netty来实现一个点对点的rpc调用。客户端和服务端都是靠手写地址进行socket同学的,无法1对多,也无法...

xpbob
5分钟前
0
0
springboot 发送邮件

获取授权码 添加配置 # 账号和密码spring.mail.username=aaa@qq.comspring.mail.password=bbb# 服务器地址spring.mail.host=smtp.qq.comspring.mail.properties.mail.smtp.ssl.en...

阿豪boy
5分钟前
0
0
如何使用GNU Ring?

文章名:如何使用GNU Ring? 作者:冰焰火灵X 1079092922@qq.com 文章许可:CC BY-SA 4.0 ##1. 安装 下载GNU Ring 点击左边选择你的系统版本(这里以 GNU/Linux 为例,我使用的是Mint 18.3)...

ICE冰焰火灵X
8分钟前
0
0
深入理解springMVC

什么是spring MVC Spring MVC属于SpringFrameWork的后续产品,已经融合在Spring Web Flow里面。Spring 框架提供了构建 Web 应用程序的全功能 MVC 模块。使用 Spring 可插入的 MVC 架构,从而...

Java填坑之路
14分钟前
0
0
《射雕英雄传》书摘

1. 我虽是个飘泊江湖的贫家女子,可不是低三下四、不知自爱之人。你如真心爱我,须当敬我重我。我此生决无别念,就是钢刀架颈,也决意跟定了你。将来……将来如有洞房花烛之日,自然……自能...

k91191
24分钟前
0
0
解决:modal中datePicker 选中时,会触发modal的hidden.bs.modal事件

最近项目中发现了一个bug,具体表现为选中模态框上datepicker组件上的日期时,会触发模态框的关闭事件,导致数据编辑无法正常进行。网上搜索了下,解决方法如下: $('.datepicker').on('hid...

Funcy1122
28分钟前
0
0
Redis分布式锁的正确实现方式

前言 分布式锁一般有三种实现方式: 1.数据库乐观锁 2.基于Redis的分布式锁; 3.基于Zookeeper的分布式锁。本篇博客将介绍第二种方式,基于Redis实现分布式锁。虽然网上已经有各种介绍Redis...

大海201506
今天
0
0
ClassNotFoundException: javax.el.ELManager

这个是因为tomcat7中的el-api2.2,有些版本太低,建议升级tomcat到8.0,利用el-api3.0就会解决这个问题。

无语年华
今天
0
0
Jvm堆内存的划分结构和优化,垃圾回收详解(详细解答篇)

在JVM中堆空间划分如下图所示 上图中,刻画了Java程序运行时的堆空间,可以简述成如下2条 1.JVM中堆空间可以分成三个大区,新生代、老年代、永久代 2.新生代可以划分为三个区,Eden区,两个幸...

嘻哈开发者
今天
1
0
CentOS 7.4 设置系统字符编码

1.语言变量LANG在 /etc/locale 文件中。 2.可以通过/ect/profile 来修改LC_TYPE 变量的值 添加如下代码 export LC_ALL="zh_CN.GBK" export LANG="zh_CN.GBK" 到profile文件中,变量的可以修改...

qimh
今天
1
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部