摘要:今年组长给了几个任务,其中有两个是关于对外接口的安全控制前端验证组件利用浏览器加密的技术访问接口,防止恶意用户越过浏览器直接访问我们的接口。人机识别在接口端再做一层检测,区分调用者来自普通用户还是工具模拟,进一步防止恶意打接口的行为。
今年组长给了几个任务,其中有两个是关于对外接口的安全控制:
前端验证组件
利用浏览器Js加密的技术访问接口,防止恶意用户越过浏览器直接访问我们的接口。
人机识别
在接口端再做一层检测,区分调用者来自普通用户还是工具模拟,进一步防止恶意打接口的行为。
主要研究的方向在于如何提取用户行为,因为工具模拟是没有一般的用户行为的。
可能的实现方式:获取浏览器安装组件信息,计算出一个标识id,接口拒绝此id的高频率调用。
问题描述只是我个人的想法,不知道有没有什么比较好的解决方案?
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/85784.html
摘要:人工排查肯定比较麻烦,建议开发者使用阿里聚安全提供的安全扫描服务,在上线前进行自动化的安全扫描,尽早发现并规避这样的风险。 作者:伊樵、呆狐@阿里聚安全 1 Content Provider组件简介 Content Provider组件是Android应用的重要组件之一,管理对数据的访问,主要用于不同的应用程序之间实现数据共享的功能。Content Provider的数据源不止包括SQ...
摘要:应用常见安全漏洞一览注入注入就是通过给应用接口传入一些特殊字符,达到欺骗服务器执行恶意的命令。此外,适当的权限控制不曝露必要的安全信息和日志也有助于预防注入漏洞。 web 应用常见安全漏洞一览 1. SQL 注入 SQL 注入就是通过给 web 应用接口传入一些特殊字符,达到欺骗服务器执行恶意的 SQL 命令。 SQL 注入漏洞属于后端的范畴,但前端也可做体验上的优化。 原因 当使用外...
摘要:应用常见安全漏洞一览注入注入就是通过给应用接口传入一些特殊字符,达到欺骗服务器执行恶意的命令。此外,适当的权限控制不曝露必要的安全信息和日志也有助于预防注入漏洞。 web 应用常见安全漏洞一览 1. SQL 注入 SQL 注入就是通过给 web 应用接口传入一些特殊字符,达到欺骗服务器执行恶意的 SQL 命令。 SQL 注入漏洞属于后端的范畴,但前端也可做体验上的优化。 原因 当使用外...
摘要:禁止内联脚本执行规则较严格,目前发现使用。典型的攻击流程受害者登录站点,并保留了登录凭证。站点接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是无辜的受害者发送的请求。攻击完成,攻击者在受害者不知情的情况下,冒充受害者完成了攻击。 随着互联网的发展,各种Web应用变得越来越复杂,满足了用户的各种需求的同时,各种网络安全问题也接踵而至。作为前端工程师的我们也逃不开这个问题,今天一起...
阅读 1711·2021-11-25 09:43
阅读 1135·2021-11-22 15:08
阅读 3443·2021-11-22 09:34
阅读 3026·2021-09-04 16:40
阅读 2584·2021-09-04 16:40
阅读 368·2019-08-30 15:54
阅读 1179·2019-08-29 17:19
阅读 1610·2019-08-28 18:13
