前后端API接口安全问题,防止抓包恶意请求

这篇具有很好参考价值的文章主要介绍了前后端API接口安全问题,防止抓包恶意请求。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

哈喽,你们好,这是我第一次发帖子,最近遇到了一些关于后端api接口的安全问题,相信很多刚开始接触前后端的人都会遇到这样的问题,如果后端写了一个数据库操作的接口供前端使用,而这些接口无论是GET请求还是POST请求都会被抓包,然后恶意的去访问你的api接口。对你的数据进行操作,而我最近就遇到了同样的问题,我思索了很久,在无意之间想出了用时间戳做验证的这种办法。

首先,我是这样想的,时间戳他是一个可以进行一个前后端都可以去进行公共去访问的,而我们在前端可以先拿到当前的事件戳,这边我用小程序的javascript做实例

 var dates = new Date();
    var time=''+dates.getTime()
    var time2= time.substring(0,10)
    var time3=time2/259.999//这里是你自己写的算法,后端需要对应的进行解密

首先我们先拿到当前的时间戳,因为后端我用的是PHP 的time()函数,而这个函数只能获取时间戳的前十位数字,所以我在js里面做了对应的截取,截取了前十位的数字,然后利用自己的算法去进行加密,当然了,我这里只是做例子,只是除了一个数字,如果想让你的加密难破解,就需要利用很多算法去进行加密。好了,我们去拿我们加密好的时间戳的前十位数字去请求一下后端

 wx.request({
     url: '这里填写你的后端接口',
     data:{
       token:time3
     },
     success:(res)=>{
       console.log(res.data);
     }
   })
  },

为了方便,我使用了GET请求,但是最好用POST 这里的安全问题我也不多说了。之后我们来看一下后端怎么去处理一下前端发送给后端的时间戳加密数字,后端这边我用的PHP

public function token(){
          $tk = $_GET['tk'];
       
if(time()-$tk*259.999==1||time()-$tk*259.999==0){
    echo '程序执行的';
}else{
    echo '小子拿到接口了?拿到接口有啥用能访问吗??';
}

其实也不难理解,后端拿到前端给他的token之后,之后拿时间戳-前端给的token,如果结果是0和1就代表是你前端小程序去请求的,当然,经过我反复测试,3g网 4g网 5g网,无论网速多快多慢,他们相差的也只是0 和1秒,所以我们可以在if代码块里面写我们的数据库操作了。这样就算别人知道你url参数是个时间戳,但是他不知道你的算法,也同样无法去请求你的接口。文章来源地址https://www.toymoban.com/news/detail-517458.html

到了这里,关于前后端API接口安全问题,防止抓包恶意请求的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全——防止被抓包

    安全套接字层 (Secure Socket Layer, SSL) 是用来实现互联网安全通信的最普遍的标准。Web 应用程序使用 HTTPS(基于 SSL 的 HTTP),HTTPS 使用数字证书来确保在服务器和客户端之间进行安全、加密的通信。在 SSL 连接中,客户机和服务器在发送数据之前都要对数据进行加密,然后由接

    2024年02月08日
    浏览(47)
  • 面试官系列 - https 真的安全吗,可以抓包吗,如何防止抓包吗(1)

    Android 面试必备 - http 与 https 协议 Android 面试必备 - 计算机网络基本知识(TCP,UDP,Http,https) Android 面试必备 - 线程 Android 面试必备 - JVM 及 类加载机制 Android 面试必备 - 系统、App、Activity 启动过程 面试官系列- 你真的了解 http 吗 面试官问, https 真的安全吗,可以抓包吗,

    2024年04月24日
    浏览(41)
  • 字节一面:https-真的安全吗?可以抓包吗?如何防止抓包吗?(我当场去世

    我在面试的过程中也经常被问到,于是总结记录了下来。千万不要小瞧这些基础,有时候,你算法,项目经验都过了,但是基础答得不太好。结果可能会通过,但这肯定会影响你的评级,这是特别吃亏的。所以,不如花点时间背一下,理解一下背后的原理。 举一个简单的例子

    2024年04月25日
    浏览(38)
  • python yaml库:safe_load()(安全解析函数,解析yaml)(防止yaml文件中包含恶意代码)

    YAML (YAML Ain’t Markup Language) 是一种人类可读的数据序列化标准。它被广泛用于配置文件、多语言环境、交互式应用等场合。Python 为 YAML 提供了强大的支持,其中包括一个安全的加载函数 safe_load 。 safe_load 是 PyYAML 库中的一个函数,用于安全地解析 YAML 文档。它的主要优点是可

    2024年02月08日
    浏览(34)
  • 恶意IP检测API接口,恶意IP威胁情报查询,通过大数据查询IP是否存在威胁或恶意。

    恶意IP检测,是指使用多种手段来检测IP地址是否存在威胁或恶意。在当前的网络安全环境下,恶意攻击已经成为常态化,各种类型的攻击不断涌现,其中大部分的攻击都是通过IP地址发起的。因此,对IP地址的安全性进行监控和检测,是保障网络安全的重要手段之一。 恶意

    2024年02月06日
    浏览(56)
  • WAF/Web应用安全(拦截恶意非法请求)

    Web 应用防火墙(Web Application Firewall, WAF)通过对 HTTP(S) 请求进行检测,识别并阻断 SQL 注入、跨站脚本攻击、跨站请求伪造等攻击,保护 Web 服务安全稳定。 Web 安全是所有互联网应用必须具备的功能,没有安全防护的应用犹如怀揣珠宝的儿童独自行走在盗贼环伺的黑夜里。

    2024年02月11日
    浏览(37)
  • https 是否真的安全,https攻击该如何防护,https可以被抓包吗?如何防止呢?

    简单来说, https 是 http + ssl,对 http 通信内容进行加密,是HTTP的安全版,是使用TLS/SSL加密的HTTP协议 Https的作用: 内容加密 建立一个信息安全通道,来保证数据传输的安全; 身份认证 确认网站的真实性 数据完整性 防止内容被第三方冒充或者篡改 其次什么事SSL证书 SSL 由

    2024年02月03日
    浏览(50)
  • [系统安全] 五十一.恶意家族分类 (2)基于API序列和深度学习的恶意家族分类实例详解

    您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更

    2024年02月11日
    浏览(46)
  • [网络安全提高篇] 一二二.恶意样本分类之基于API序列和机器学习的恶意家族分类详解

    终于忙完初稿,开心地写一篇博客。 “网络安全提高班”新的100篇文章即将开启,包括Web渗透、内网渗透、靶场搭建、CVE复现、攻击溯源、实战及CTF总结,它将更加聚焦,更加深入,也是作者的慢慢成长史。换专业确实挺难的,Web渗透也是块硬骨头,但我也试试,看看自己未

    2024年02月12日
    浏览(62)
  • [网络安全提高篇] 一二三.恶意样本分类之基于API序列和深度学习的恶意家族分类详解

    终于忙完初稿,开心地写一篇博客。 “网络安全提高班”新的100篇文章即将开启,包括Web渗透、内网渗透、靶场搭建、CVE复现、攻击溯源、实战及CTF总结,它将更加聚焦,更加深入,也是作者的慢慢成长史。换专业确实挺难的,Web渗透也是块硬骨头,但我也试试,看看自己未

    2024年02月12日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包