1 / 驗證碼(最簡單有效的防護),採用點觸驗證,滑動驗證或第三方驗證碼服務,普通驗證碼很容易被破解
2 / 頻率,限制同裝置,同ip等傳送次數,單點時間範圍可請求時長
3 / 歸屬地,檢測ip所在地是否與手機號歸屬地匹配;ip所在地是否是為常在地
4 / 可疑使用者,對於可疑使用者要求其主動發簡訊(或其他主動行為)來驗證身份
5 / 黑名單,對於黑名單使用者,限制其操作,api介面直接返回success,1可以避免浪費資源,2混淆黑戶判斷
6 / 簽名,api介面啟用簽名策略,簽名可以保障請求url的完整安全,簽名匹配再繼續下一步操作
7 / token,對於重要的api介面,生成token值,做驗證
8 / https,啟用https,https 需要秘鑰交換,可以在一定程度上鑑別是否偽造ip
9 / **混淆,發布前端**混淆過的包
10 / 風控,大量肉雞來襲時只能受著,同樣攻擊者也會暴露意圖,分析意圖提取演算法,分析判斷是否為惡意 如果是則斷掉;異常賬號及時鎖定;或從產品角度做出調整,及時止損。
11 / 資料安全,資料安全方面做策略,攻擊者得不到有效資料,提高攻擊者成本
12 / 惡意ip庫,過濾惡意ip
tips:
鑑別ip真偽(自己識別**ip和機房ip成本略高,可以考慮第三方saas服務。由肉雞發起的請求沒轍,只能想其他方法)
手機號真偽(做空號檢測,同樣丟給**商來處理,達不到100%準確率,效率感人,並且不是實時的,可以考慮選擇有防攻擊的運營商)
防止API被惡意呼叫
一 身份鑑定。這個可以使用oauth2.0規範,或者帶有不對稱金鑰加密的token,選擇jwt等形式,配合身份鑑定系統來保證。二 內容防篡改。可以使用數字簽名演算法來進行雜湊校驗,強制https通訊。最新的系統可以考慮http 2。三 ddos 攻擊。通過設定防火牆,控制api呼叫頻.率,例如協議的...
如何防止公開介面被惡意呼叫?
今年組長給了幾個任務,其中有兩個是關於對外介面的安全控制 前端驗證元件 利用瀏覽器js加密的技術訪問介面,防止惡意使用者越過瀏覽器直接訪問我們的介面。人機識別 在介面端再做一層檢測,區分呼叫者來自普通使用者還是工具模擬,進一步防止惡意打介面的行為。主要研究的方向在於如何提取使用者行為,因為工具模擬是...
API介面手工防禦被惡意呼叫和介面被攻擊
通常情況下的api介面防護有如下幾種 使用https防止抓包,使用https至少會給破解者在抓包的時候提高一些難度 介面引數的加解密,通過md5加密資料 時間戳 隨機字串 salt 然後將md5加密的資料和時間戳 原資料均傳到後台,後台規定乙個有效時長,如果在該時長內,且解密後的資料與原資料一致,則...