网络安全 API 接口攻击

发布于 2021-02-09 17:12:59 字数 2225 浏览 1642 评论 0

相信很多网站都会遇到也不知道是谁,毫无目的刷网站的接口的事情。尤其是短信接口,好像所有网站都会被人刷接口,十有八九都是短信接口的提供商找人干的。

其次,登录接口也是经常被刷地方,因为可以被破坏者用来爆破用户的密码。然后,注册接口也是,不过因为国家强制要求手机号注册的原因,现在还好刷注册接口很难了。

防御方式

1、监控异常ip,发现异常ip,直接封ip(这种方法要是遇到使用肉鸡刷的人就没什么办法了)
2、使用验证码(这种方法缺点就是降低用户体验)

在实际项目中,这两种防御方式会一起使用。

这两种防御方式同样应用在爬虫的防御上。
由于验证码这东西市面上有很多种,而好的交互和用户的体验息息相关,那么,现在有哪些种类的验证码呢,我们又该怎么选择呢?

验证码分类

1、图形验证码(已淘汰)

缺点:用户体验差;攻击者可以用图像识别算法识别字母

2、坐标验证码(不推荐)

缺点:用户体验差;同样可以通过算法识别,然后模拟点击定位

3、滑块验证码

前几年比较火,几乎所有大网站都用了这种方法,但是也有问题 缺点:要是攻击者有了整套的图片资源,也能破解。极验验证码之前就因为滑块图片泄露,导致很多用他们家服务的网站被攻击了。

后来他们紧急更新了滑块包和SDK(偷偷地),当时我们 CTO 打电话给他们才给我们说他们滑块资源被盗了,居然不也通知我们,我们问了才说,造成了公司的损失,浪费了人员的精力。

4、无感知验证码

最为代表性的就是谷歌的 reCAPTCHA 了,但是毕竟是谷歌服务,国内用起来还是很鸡肋的。 不过,国内也有了这样的解决方案,比如极验就出了这项云服务了,不过名字叫做“智能验证码”。

总结

无感知验证码可以说是目前最好的验证码解决方案了。然而很多公司还是停留在图形验证码的阶段。

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

列表为空,暂无数据

关于作者

JSmiles

生命进入颠沛而奔忙的本质状态,并将以不断告别和相遇的陈旧方式继续下去。

0 文章
0 评论
84935 人气
更多

推荐作者

待"谢繁草

文章 0 评论 0

战皆罪

文章 0 评论 0

子英

文章 0 评论 0

爱的十字路口

文章 0 评论 0

孤者何惧

文章 0 评论 0

xi霄xi

文章 0 评论 0

    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击“接受”或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。