网络安全 API 接口攻击 - 文章教程

网络安全 API 接口攻击

发布于 2021-02-09 字数 2914 浏览 1432 评论 0

相信很多网站都会遇到也不知道是谁,毫无目的刷网站的接口的事情。尤其是短信接口,好像所有网站都会被人刷接口,十有八九都是短信接口的提供商找人干的。

其次,登录接口也是经常被刷地方,因为可以被破坏者用来爆破用户的密码。然后,注册接口也是,不过因为国家强制要求手机号注册的原因,现在还好刷注册接口很难了。

防御方式

1、监控异常ip,发现异常ip,直接封ip(这种方法要是遇到使用肉鸡刷的人就没什么办法了)
2、使用验证码(这种方法缺点就是降低用户体验)

在实际项目中,这两种防御方式会一起使用。

这两种防御方式同样应用在爬虫的防御上。
由于验证码这东西市面上有很多种,而好的交互和用户的体验息息相关,那么,现在有哪些种类的验证码呢,我们又该怎么选择呢?

验证码分类

1、图形验证码(已淘汰)

网络安全 API 接口攻击

缺点:用户体验差;攻击者可以用图像识别算法识别字母

2、坐标验证码(不推荐)

网络安全 API 接口攻击

缺点:用户体验差;同样可以通过算法识别,然后模拟点击定位

3、滑块验证码

网络安全 API 接口攻击

前几年比较火,几乎所有大网站都用了这种方法,但是也有问题 缺点:要是攻击者有了整套的图片资源,也能破解。极验验证码之前就因为滑块图片泄露,导致很多用他们家服务的网站被攻击了。

后来他们紧急更新了滑块包和SDK(偷偷地),当时我们 CTO 打电话给他们才给我们说他们滑块资源被盗了,居然不也通知我们,我们问了才说,造成了公司的损失,浪费了人员的精力。

4、无感知验证码

网络安全 API 接口攻击

最为代表性的就是谷歌的 reCAPTCHA 了,但是毕竟是谷歌服务,国内用起来还是很鸡肋的。 不过,国内也有了这样的解决方案,比如极验就出了这项云服务了,不过名字叫做“智能验证码”。

网络安全 API 接口攻击

总结

无感知验证码可以说是目前最好的验证码解决方案了。然而很多公司还是停留在图形验证码的阶段。

如果你对这篇文章有疑问,欢迎到本站 社区 发帖提问或使用手Q扫描下方二维码加群参与讨论,获取更多帮助。

扫码加入群聊

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

目前还没有任何评论,快来抢沙发吧!

关于作者

JSmiles

生命进入颠沛而奔忙的本质状态,并将以不断告别和相遇的陈旧方式继续下去。

2583 文章
29 评论
84935 人气
更多

推荐作者

猫性小仙女

文章 1 评论 0

qq_VO6LhT

文章 0 评论 0

猿舌电影

文章 0 评论 0

7556275422

文章 0 评论 0

YYQ_139

文章 0 评论 0