接口安全性测试技术(7):CRSF及接口防刷技术

接口安全性测试技术(7):CRSF及接口防刷技术
什么是CRSF
CSRF(Cross-site request forgery)即跨站请求***。简单的说,是***者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会觉得是这是真正的用户操作而去运行。/ ( l P b 8 x q f

这就利用了web中用户身份认证验证的一个漏洞:简单的身份B ( , 5 X [ B T验证仅仅能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发
出的。
其实可以这么理解CSRF***:***者盗用了你的身份,以你的名义发送恶意请求Q I e。_ Z f JCSRF能够做的事情包含:以你的名义发送邮件;发消息;盗
取你的账号;K ( k @甚至于购买商品、虚拟货币` Y . 6转账......造成的问题包含个人隐私泄露以及财产安全
CRSF防御
检查HTTP Referer首部是否同域
限制Session Cookie的生命周期
使用验证码
使用一次性token
接口防刷技术解析

  1. 网关控制洪峰,对在一个时间段内出现量异常,可以拒绝请求;

  2. 源ip 请求个数限制。对请求来源的ip 请求个数~ | T做限制;

对单个用户/ip限制每分钟最多提交的次数。实现方式有多种,常用的方式是记录单次提交成功的单个用L N 0 K r |户/ip放到mc/redis里面,然后给mc设定2分钟r v 1 3 L的缓存时间。下次该用户/ip提交数据的时候先查mc是否M v d已过期,没过期,则不给提交。

  1. http 请求首部字段进行校验;

例如Host , User-Agent , Referer 等

  1. 对用: P户唯一身份uid进行限制和校验。例如基本的长度,组合方式,甚至) R ` 4 W I有效性进行判断。或者uid具有} ` w = m v l G ;一定的时效性;

  2. 前后端协议采用二进制方式进A - _ [ i行交互或者协议采用签名机制;

  3. 人机验证

各种验证码(短信6 ~ k验证码* ) [ 6 $、语音验证码、问题类验证码、读取式验证码、字符/图片类验证码、点触式验证码、视频验证码0 I : z B、行为式验证码、拖动式验证码等)