-
-
未解决
[求助]web应用如何避免攻击者恶意调用接口
2.00雪花
-
发表于:
2018-1-21 12:48
1694
-
未解决 [求助]web应用如何避免攻击者恶意调用接口
2.00雪花
hi,大家好.
先跟大家介绍下如何恶意调用攻击吧..今早在公司官网发现的漏洞举例.
A用户下有多名下属,下属每天必须写日报.A必须每天评价下属的日报,评价后可以获取积分.(积分有重要作用)
今天闲来无事,评价下属日报时chrome按下F12,看评价时调的哪个接口,发的哪些参数.
完了直接开postman发送攻击请求,请求评价相同的日报...结果成功了,还给我加了积分.也就是说应该正常是一篇日报只能评价一次,只会得到1积分.
但是因为漏洞可以提交评价多次,也就能获得无限积分.
以上主要是想介绍下这种恶意调用接口是如何攻击的.
今天写一个项目的接口,主要是使用网易云的IM即时通讯.
简单介绍下:
单个应用内每个用户都会有唯一的网易云IM即时通讯账号密码,这个后端需要存起来.
前端需要的时候可以通过后端接口获取两端(发送者接受者)的网易云IM即时通讯账号密码后调用jsSdk来调用接口收发消息.
关键点在于因为后端提供了接口获取用户的网易云IM即时通讯accid及token(通过用户id获取),攻击者也能找到该接口也能确定关键参数(id),最后确定是使用了网易云IM即时通讯产品....那么很恐怖的是,攻击者只需要随便发请求一个id一个id尝试,获取到任意用户的accid和token以后通过自己账号的accid及token作为发送者发送任意消息........可能是广告或者其他(虽然网易云IM即时通讯有广告过滤功能.).
这就对用户来说是非常差的体验... so 我想问下这个该如何处理..想过加各种cookie..但是攻击者这些信息都能看到的.攻击时带上就ok了,没什么用.
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
