開放 API 介面的安全問題 5

其實，我有乙個相對簡單的方法。

當應用呼叫後端介面時，將登入應用的使用者名稱和密碼拼接到引數字串中，並使用RSA公鑰對引數字串進行加密並傳遞給後端。 獲取該引數後，後端接收輪裸口使用私鑰解密資料，並與資料庫中的檔案使用者名稱和密碼進行比對，如果匹配，則表示為正常訪問。

你認為這可行嗎？

現在很多**都要用API介面，有些程式和**通訊也要用介面。 但是，介面最重要的安全問題是邏輯判斷問題，比如最常見的是支付介面，支付介面。 例如，這是對支付介面的判斷處理。

它只是 bug 的簡化版本，只能部分提取，好吧，orderid 被稱為 orederid。 湊合著用它，然後寫乙個 html 模擬帖子提交是一種聲譽。

不過，現在部分支付介面已經修復了這個漏洞，並且已經改為主動查詢伺服器上的支付狀態，而不是被動等待伺服器返回 但是還是有一些支付公司沒有修復這個漏洞，比如國外機房的面板，這個面板還是很多人使用的充電面板 他的信用卡支付場所沒有驗證， 如果有賬單，選擇信用卡來扭曲這個，使用Firebug之類的東西來更改別人的信用卡ID，可以用別人的信用卡支付（強烈推薦！！和 bs 這種行為）還有乙個漏洞就是程式與web通訊，上次在上面看到它的時候，我看了他在和web通訊時寫的介面進行驗證，沒有對SQL注入進行任何過濾

謝謝！！

API安全主要包括三個方面：資訊保安、網路安全、應用安全

資訊保安是您希望確保系統中的所有資訊在其整個生命週期內都受到保護和安全的。

所謂全生命週期，包括資訊從建立、儲存、轉換、備份，甚至銷毀。

應用程式旨在抵禦攻擊並防範風險。

確保資訊僅由目標使用者訪問。

防止未經授權的建立、修改和刪除。

當使用者需要訪問 API 時，服務始終可用。

假裝成某人[例如，我不是系統管理員，但我假裝是系統管理員，然後我想做任何我想做的事]。

更改您不希望被修改的資料、訊息或設定（例如，要更改法定貨幣訂單的狀態，在使用者支付款項後，允許使用者將訂單狀態從未付款更改為已付款，但不允許使用者在修改自己的訂單時修改其他人的訂單）。

拒絕承認已經做了什麼[例如，使用者需要退款，然後我們退款，但他拒絕承認他已經退款了]。

洩露您想要保密的資訊（例如，使用者資訊洩露）。

拒絕使用者訪問資訊和服務（最常見的是 DDoS 攻擊，它會破壞您的服務、阻止您的服務並阻止您向使用者提供服務）。

做你不想讓他做的事。

解決了拒絕服務的 API 安全風險。

限制可防止使用者請求淹沒您的 API

解決了欺騙的 API 安全風險。

身份驗證可確保您的使用者或客戶端確實是他們自己的一方。

解決了可否認的 API 安全風險。

審計確保所有操作都被記錄下來，以便進行可追溯性和監控。

解決資訊洩露、干預和未經授權訪問的 API 安全風險。

授權可確保對 API 的每次訪問都獲得授權。

解決資訊洩露的API安全風險。

加密可確保進出 API 的資料是私密的。

所謂認證，就是驗證使用者身份是否合法的過程;

身份驗證的目的是驗證來自該使用者的使用者的身份（例如，驗證使用者傳送的授權標頭）。

另一方面，登入是使用者獲取身份的過程[供使用者獲取身份]。

授權用於訪問控制。

要遵循最小授權原則【使用者只給他必要的許可權，不給他不想要的許可權，必要時再申請橙色草稿】。

1.您的請求是否需要身份驗證或許可權控制

2.確定您是否具有許可權

1. acl【acess control lists】

1.該 API 被惡意呼叫。

1）我們可以使用timestamp方法來解決問題。在服務層，將介面傳遞的時間戳與當前時間進行比較，例如，將請求的有效期設定為 60 秒。

2）根據需要對時間戳進行加密，防止攻擊者模擬對時間戳的攻擊。

2.介面資料已被篡改。

1）使用簽名機制對上傳的介面引數資料進行加密，生成簽名。伺服器端使用相同的演算法來驗證簽名，以保證資料的一致性。

2）加密演算法為：sign = md5 （md5（a=1120）+md5（b=1144）），a，b為具體上傳的資料。

3.介面敏感清晰，資料被盜。

對上傳的敏感資料（如密碼）進行加密。 加密演算法盡量對雜訊做出響應，後端處理可以加鹽，進一步提高加密水平。

最後，我們也可以直接使用HTTPS協議來增強API的安全性。