内射老阿姨1区2区3区4区_久久精品人人做人人爽电影蜜月_久久国产精品亚洲77777_99精品又大又爽又粗少妇毛片

網(wǎng)站接口被惡意攻擊怎么辦?

無論網(wǎng)站,還是App目前基本都是基于api接口模式的開發(fā),那么api的安全就尤為重要了。目前攻擊最常見的就是“短信轟炸機(jī)”,由于短信接口驗(yàn)證是App,網(wǎng)站檢驗(yàn)用戶手機(jī)號最真實(shí)的途徑,使用短信驗(yàn)證碼在提供便利的同時(shí),也成了唄惡意攻擊的對象,那么如何才能防止被惡意調(diào)用呢?今天云服務(wù)商小編就帶大家一起了解下。

創(chuàng)新互聯(lián)公司堅(jiān)持“要么做到,要么別承諾”的工作理念,服務(wù)領(lǐng)域包括:網(wǎng)站制作、成都網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù),滿足客戶于互聯(lián)網(wǎng)時(shí)代的嘉祥網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求,幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴!

1.圖形驗(yàn)證碼:

將圖形校驗(yàn)碼和手機(jī)驗(yàn)證碼進(jìn)行綁定,在用戶輸入手機(jī)號碼以后,需要輸入圖形校驗(yàn)碼成功后才可以觸發(fā)短信驗(yàn)證,這樣能比較有效的防止惡意攻擊。目前大部分應(yīng)用都是采用這種方式。

2.限定請求次數(shù):

在服務(wù)器端限定同IP,同設(shè)備,同時(shí)間范圍內(nèi)的接口請求次數(shù)。比如同一號碼重復(fù)發(fā)送的時(shí)間間隔,一般為60或120秒;設(shè)置每個(gè)IP每天的發(fā)送量;設(shè)置單個(gè)手機(jī)號每天的發(fā)送量。

3.流程條件限定:

將手機(jī)短信驗(yàn)證放在最后進(jìn)行,比如需要用戶必須注冊后,或者用不必須填寫了某些條件才能進(jìn)行短信驗(yàn)證。

4.歸屬地是否一致:

服務(wù)器端檢查用戶的IP所在地與手機(jī)號歸屬地是否匹配,如果不匹配則提示用戶手動(dòng)操作等。

5.服務(wù)器接口驗(yàn)證:

當(dāng)用戶登錄成功后,返回一個(gè)由Token簽名生成的秘鑰信息(Token可使用base64編碼和md5加密,可以放在請求的Header中),然后對每次后續(xù)請求進(jìn)行Token的封裝生成,服務(wù)器端在驗(yàn)證是否一致來判斷請求是否通過。

(1)常規(guī)的方法:用戶登陸后生成token,返回客戶端,然后服務(wù)器使用AOP攔截controller方法,校驗(yàn)token的有效性,每次token是一樣的;(2)用戶登陸后生成臨時(shí)token,存到服務(wù)器,并返回客戶端,客戶端下次請求時(shí)把此token傳到服務(wù)器,驗(yàn)證token是否有效,有效就登陸成功,并生成新的token返回給客戶端,讓客戶端在下一次請求的時(shí)候再傳回進(jìn)行判斷,如此重復(fù)。 這種方法有性能問題,但也有一個(gè)漏洞,如果用戶在一次請求后,還未進(jìn)行下一次請求就已被黑客攔截到登錄信息并進(jìn)行假冒登錄,他一樣可以登錄成功并使用戶強(qiáng)制下線,但這種方法已大大減少被假冒登錄的機(jī)會。(3)兩層token:一般第一次用賬號密碼登錄服務(wù)器會返回兩個(gè)token,時(shí)效長短不一樣,短的時(shí)效過了之后,發(fā)送時(shí)效長的token重新獲取一個(gè)短時(shí)效,如果都過期,那么就需要重新登錄了。當(dāng)然更復(fù)雜你還可以做三層token,按照業(yè)務(wù)分不同token。

6.采用https:

線上的api接口開啟https訪問,這樣做的話別人抓包的難度會提高很多,而且https需要秘鑰交換,可以在一定程度上鑒別是否偽造IP。

7.服務(wù)器端代理請求:

針對于網(wǎng)站,這也是解決跨域的方案之一,采用服務(wù)器代理可以有效的防止接口真實(shí)地址的暴露。

8.其它:

當(dāng)接口存在大量肉雞攻擊的時(shí)候,攻擊者也同樣容易暴露意圖,我們可以通過系統(tǒng)分析算法,讓攻擊者獲取不到有效數(shù)據(jù),提高攻擊成本。

總結(jié):

安全問題一直都是與攻擊者之間智斗勇的問題,只有不斷交鋒,不斷成長,當(dāng)然在網(wǎng)站前期部署的時(shí)候選用高防御服務(wù)器也是一個(gè)不錯(cuò)的預(yù)防方式。

網(wǎng)頁題目:網(wǎng)站接口被惡意攻擊怎么辦?
標(biāo)題鏈接:http://www.rwnh.cn/article16/cgjcdg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供品牌網(wǎng)站設(shè)計(jì)網(wǎng)站建設(shè)、外貿(mào)建站云服務(wù)器、建站公司、微信公眾號

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

微信小程序開發(fā)
苍山县| 陈巴尔虎旗| 马鞍山市| 许昌市| 八宿县| 遂平县| 西乌珠穆沁旗| 丹凤县| 博兴县| 洛川县| 沂南县| 岐山县| 微博| 迁安市| 三原县| 靖边县| 江北区| 伊宁市| 龙胜| 永济市| 洪雅县| 民勤县| 苏尼特左旗| 贵州省| 虎林市| 蓬溪县| 永和县| 锡林浩特市| 余庆县| 江山市| 德清县| 威信县| 德安县| 鹤庆县| 桓台县| 宁都县| 万盛区| 济宁市| 宁波市| 鄂州市| 甘洛县|