最近有个活动接口被恶意调用,怎么阻止这种行为?
安全防范有好多种.绕过漏洞、验证机制漏洞、会话管理漏洞、权限控制漏洞、sql注入、xpath注入、xss、csrf、逻辑漏洞、社会工程学攻击、自动化审计等;如果把上述说明得漏洞一一修复,就应该相对安全了
可以参考腾讯接口鉴权 https://www.qcloud.com/doc/ap...
被恶意的调用,你要加签名机制,
是怎么样的恶意调用。别忘了基本的https,其它可以配合验证码,频率之类的
可以参考第三方的接口,比如淘宝、微信等,主要是用token验证包装安全性
这么好的问题居然被down了4次。可惜了。我up了一次哈哈哈。
一般都是加上token,限制频率。 恶意ip检测。
这个问题确实没问好,太大了,不好回答。
从LZ的描述看出主要问题是被恶意调用,那想到的对策就是:
认证授权
请求签名(记得加时间戳)
频率控制(按用户、IP等)
当然,如果是防机器人,还可以用验证码之类的。
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
暂无简介
文章 0 评论 0
接受
发布评论
评论(8)
安全防范有好多种.
绕过漏洞、验证机制漏洞、会话管理漏洞、权限控制漏洞、sql注入、xpath注入、xss、csrf、逻辑漏洞、社会工程学攻击、自动化审计等;
如果把上述说明得漏洞一一修复,就应该相对安全了
可以参考腾讯接口鉴权 https://www.qcloud.com/doc/ap...
被恶意的调用,你要加签名机制,
是怎么样的恶意调用。别忘了基本的https,其它可以配合验证码,频率之类的
可以参考第三方的接口,比如淘宝、微信等,主要是用token验证包装安全性
这么好的问题居然被down了4次。可惜了。我up了一次哈哈哈。
一般都是加上token,限制频率。 恶意ip检测。
这个问题确实没问好,太大了,不好回答。
从LZ的描述看出主要问题是被恶意调用,那想到的对策就是:
认证授权
请求签名(记得加时间戳)
频率控制(按用户、IP等)
当然,如果是防机器人,还可以用验证码之类的。