《NAT转换是怎么工作的.docx》由会员分享,可在线阅读,更多相关《NAT转换是怎么工作的.docx(3页珍藏版)》请在优知文库上搜索。
1、API全称APPIiCatiOnPrOgraBmingInterface.翎译出来叫做“应用程序接口”.是一些f!ii先定义的接口(如函数、HrTP接口),或指软件系统不同组成部分衔接的约定。用来提供应用程序与开发人员基于某软件或硬件得以访问的一组例程.而乂无需访问源码,或理解内部工作机制的细节.z,如今API已成为将当今APP经济的粘合剂在Web2.0的浪潮到来之前,开放的APl洪至源代码主要体现在桌面应用上,越来越多的呢b应用面向开发者开放了API,同时也正在成为黑客攻击的头号目标。API的运行方式与UR1.的运行方式大致相同,用户使用Web搜索时,页面展示结果是动态的,以手机银行应用程序
2、为例,API也以类似的方式运行,它可以获取用户的地理位置、姓名、账号和账户余额,并相应地埴充交互页面中的字段,但因为API包括所有安全检套,并且通常直接与后端银务通信,所以也更容易被攻击者再睐.应用程序安全方面直存在个问即:输入验证.如果没有适当的功能和安全测试,API可能会成为一个完美的攻击点。因为APl受应用程序信任,可以进行高速、海埴数据交换.通过对大fit应用程序安全市场客户的调查,并参考开放eb应用程序安全项目(ONASP)后,调查人员汇苒了以下三类最常见的RPl漏洞:第一,资产管理不当此API缺陷是环境的隅和管理不足的结果,允许攻击者访问安全性不足的APl端点,在之前的网络安全事件
3、中,就有由于开发人员PI无需编辑即可访问生产数据,进而了客户的系统,儒于此类别的漏洞还包括未监控开发APl中的敏感数据,以及让已弃用的APl仍处于在线或公开状态.第二1受损的对象锻别授权BrokenObject1.evelAuthorization(BO1.A)BO1.A的通俗定义是对对象访问请求的脸证不充分,它允许攻击者通过重用访问令牌来执行未经授权的操作.Peloton事件是最近诸多Bo1.A利用中比较有名的一个案例,攻击者可以查看包括标有私人事件在内的,几乎所有用户的个人资料。此类攻击可能影响到从开发到运营,再到营销和公共关系的每个业务组。第三,无效的用户身份险证此类漏洞的准确定义是“身
4、份验证机制中的实施缺陷”,允许攻击者冒充合法用户。这里关朕两种常见的漏洞利用类型:第一个是由自动化机器人执行的凭证填充.查找有用户身份验证缺陷的PI是自动攻击的理想目标.此漏洞的更复杂用途是进行侦察,以确定API的工作方式.例如我们输入,aw密码的用户名/监码组合,应用程序显示“密码无效”,那么攻击者就会知道用户名是有效的,攻击者将使用此数据点来增加凭证填充(或其他类型的攻击)成功的机会,API跳陷影响整个企业,而不仅仅是运维团队、安全团队或业分团队,指指点点从来无法修发问即,修笈始丁协作,那么如何防止api接口被恶意调用或攻击?1.图形验证码,将图形校险码和手机验证码进行绑定,在用户输入手机
5、号码以后,需要愉入图形校验码成功后才可以腋发短信验证,这样能比较有效的防止恶意攻击。目前大部分应用都是采用这种方式.2.限定请求次数,在服务器端限定同-IP地址,同一设备,同时间范围内的接口请求次数.比如同一号码亚发发送的时间间隔,一般为60或120秒:设置每个IP每天生大的发送;匕设置单个手机号每天的最大发送量,3.流程条件限定,格手机短信舱证放在最后进行,比如需要用户必须注册后,或者用不必须填写了某些条件才能进行短信验证。4.归属地是否一致;服务器端检使用户的IP所在地与手机号归属地是否见配,如果不四配则提示用户手动操作等.6.服务器按口殴证,当用户登录成功后,返回一个由Token签名生成
6、的秘钥信息(TOken可使用base64编码和md5加密,可以放在请求的Header*:),然后对籽次后续请求进行Token的封装生成,股务器端在验证是否一致来判断请求足否通过.1常规的方法:用户登陆后生成token,返回客户端,然后服务器使用AOP拦极controller方法,校验token的有效性,每次token是一样的:(2)用户登录后生成临时token,存到服务器,并返回客户缱,客户端下次请求时把此Ioken使到服务器,装证token是否有效,有效就登录成功,并生成新的token返回给客户端,让客户端在卜.一次请求的时候再传回进行判断,如此重复.这种方法有性能问题,但也有一个漏洞,如果
7、用户在一次请求后,还未进行下一次请求就已被黑客拦截到登录信息并进行假日登录他一样可以登录成功并使用户强制下线,但这种方法已大大战少被假目登录的机会。(3)两层token:般第一次用账号密码转录服务器会返回两个eken,时效长短不一样,短的时效过了之后,发送时效长的token更新获取一个短时效.如果都过期,那么就需要更新登录/.当然更匆杂你还可以做三层token,按照业务分不同token6.采用https.线上的api接口开启https访问,这样做的话别人抓包的爆度会提高很多,而且https需要秘W交换,可以在一定程度上鉴别是否为伪造的网络非典人IP地址.7.服务叁*代理请求:针对于网站,这也是解决跨域的方案之一,采用服务器代理可以有效的防止接口真实地址的暴露,网络安全举足重要近几年APl安全事件也层出不穷,所以,无论是企业用户还是个人用户,一定要了解API存在的漏洵以及相关的风险,便于最及时的做好安全防护!
免费区 