api接口漏洞（防止api接口暴露）

本篇文章给大家谈谈api接口漏洞，以及防止api接口暴露对应的知识点，希望对各位有所帮助，不要忘了收藏本站喔。 今天给各位分享api接口漏洞的知识，其中也会对防止api接口暴露进行解释，如果能碰巧解决你现在面临的问题，别忘了关注本站，现在开始吧！

本文目录一览：

• 1、08.如何保证API接口的安全性问题01
• 2、开放的API接口的安全性问题
• 3、鸿蒙OS用户注意了！App侧载“漏洞”出现，华为似乎仍未解决？
• 4、php开发api接口,如何做才算是安全的
• 5、gitlab漏洞系列

08.如何保证API接口的安全性问题01

1.互联网Api接口到底如何保证安全性问题？
2.代码落地实战防御XSS、CSRF攻击
3.代码落地如何防御接口数据被黑客抓包篡改？
4.接口数据加密对称还是非对称加密好

XSS攻击通常指的是通过利用 网页 开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括 Java 、 VBScript 、 ActiveX 、 Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。 [1]

脚本攻击：利用JavaScript 注入 到后台数据库中，在通过展示数据加载该脚本 该脚本中（

1.使用js获取cookie信息（jwt）

2.将该jwt数据 上传黑客服务器（ajax）

）

获取jwt---用户会话信息 让后模拟请求形式使用该jwt登录。

xss攻击典型网站：论坛、评论区

getUserInfo?userName=

getUserInfo?userName=

前端传递 js 脚本到服务器端

后端接口将该脚本存放数据库中

前端html

将用户前端所提交的参数进行过滤。

html 大于 小于号 <

该方式的缺陷：每个参数都需要像这样写 代码非常冗余

接口接受参数 ？传递参数形式---

传递参数都是json数据形式

spring mvc 接受 json数据提供 api回调

1.可以使用第三方抓包工具，对请求前后实现代理，可以修改参数请求内容和参数响应内容,抓包工具http调试工具

2.Fiddler4下载地址：https://pc.qq.com/detail/10/detail_3330.html

使用Fiddler4篡改请求之前：

使用MD5可以直接验证签名参数 MD5 属于单向加密，只能够暴力破解。

MD5应用场景 在nacos分布式配置中心中，使用MD5 比对文件内容是否发生改变

HasherPro比对文件内容是否发生改变。

MD5在线暴力破解地址：https://www.cmd5.com/

String userName= "123456" ;
System. out .println( DigestUtils. md5Hex (userName));

黑客如何破解？自己需要根据参数内容 生成签名

如果只是改了参数内容---没有用的 所以我们需要该签名

{"password":"123456","phoneNumber":"phoneNumber","channel":"安卓","equipment":""}

{sign=325ab041d4889825a46d1e1e802ab5de, timestamp=1652537015771}

开放的API接口的安全性问题

其实我有个比较简单的方法。
APP调用后台接口的时候，把登陆APP的用户名和密码拼接到参数串里，用RSA公钥对参数串加密并传递给后台。后台接口在得到此参数后，用私钥解密并与数据库中的用户名密码进行比对，如果符合则说明是正常访问。
你觉得这样可行吗？

鸿蒙OS用户注意了！App侧载“漏洞”出现，华为似乎仍未解决？

“希望谷歌旗下App（GMS套件）能在华为AppGallery（应用市场）上架，就像谷歌已经选择在苹果App Store（应用市场）上架那样……”

2020年3月31日那场年度报告上，华为技术轮值董事长之一 徐直军 ，令外界感到惊诧的发出上述呼吁api接口漏洞！

任正非称其聪明的像个“小狐狸”，显然并不是毫无缘由的简单调侃。

要知道，2019年5月16日之后，谷歌单方面中断GMS服务合作，本就是为api接口漏洞了限制谷歌旗下App、基于GMS服务开发App等 在华为新款Android设备运行。

徐直军却公开“邀请”谷歌将其App上架到华为自建App分发平台？这就跟各路网友戏称的那样了api接口漏洞： 简直是在呼吁谷歌自己“干翻”自己……

当然了，彼时的徐直军说出了“那番话”的初衷，更像是在表明合作共赢的立场而已api接口漏洞！

外界很清楚，谷歌潜心培育了多年、用来控制Android平台话语权的GMS生态， 不可能参与到华为HMS生态的建设中……

综合华为技术终端BG（原消费者BG）负责任 余承东 披露的战略，华为搭建HMS服务辅以鸿蒙OS生态化，构建运营了AppGallery应用分发平台。

等同于谷歌Google Play平台、苹果App Store平台的重要性，这点已经人尽皆知了。

然而，鸿蒙OS内置HMS应用分发平台的 华为AppGallery，竟然被曝出了“漏洞”……

一位应用服务开发者分析AppGallery平台API函数时，发现了华为没有启用AppGallery底层“保护第三方App付费式逻辑”的相关策略！

App侧载“漏洞”出现，鸿蒙OS用户注意了！

据了解，该开发者发现这个“有问题”的API接口，用于数据请求后返回App下载的链接，侧重于免费App或付费App权限验证！

简单地说，就是检查一下 「当前用户是否购买了App服务」 或使用权限，如果是常见的免费App应用还没什么……

对于那些付费App来说，就显得不那么“友好”了，因为可以绕过付费API、直接下载！

一些需要用户付费才能下载的第三方App，遭遇此类 “越过平台验证权限的侧载 ”，显然会给第三方App服务开发者们造成不必要的损失。

进一步的App侧载“漏洞”验证中，开发者确定“并非某款App所引起”，而是所有“同类”的付费App都可以被绕过AppGallery平台API接口验证……

值得一提的是，通过App侧载“漏洞”免费下载的“付费App”，可以正常安装到内置华为HMS服务组件的设备， 免费正常使用这些 原本需要付费的App ，根本没有出现异常！

基于业内达成共识的惯例，发现了华为AppGallery平台API接口验证“漏洞”的开发者，在2022年2月份，将分析中获取的确信结果通知了华为技术团队。

也就是说，华为技术至少有5周时间进行修复。（披露称华为技术团队已经知晓了）

不过，华为似乎仍未解决？

大概过了非常充足的13周时间后，也就是在2022年5月18日，发现华为AppGallery平台API接口验证“漏洞”的开发者，在网络上公布了这项关于App侧载“漏洞”的发现！

据称，华为技术团队等相关方面，仍未公布该漏洞是否已修复的报告， 也没有明确给出“漏洞”修复计划的时间安排？

在华为技术给出明确的应对策略、正式披露修复该“漏洞”报告之前，华为AppGallery平台的第三方App服务开发者，可以尝试将开发好的App执行相应的DRM数字保护！

执行了DRM数字保护服务的第三方付费App，即使遭遇了App侧载“漏洞”、导致App安装包文件被“非法”获取了，拿去安装到别的鸿蒙OS设备也没有用……

当某些用户打开“未付费”就安装的付费App，就会面临验证是否正常购买了这款付费版App！

如果当前用户没有正常付费、并非通过华为AppGallery平台加载，将无法打开使用！

关于这一点，相信那些使用iPhone设备的用户、尝试将IPA包同步安装到设备时，已经发现过了“没有付费就无法安装使用付费版App”的事实。（助手类的就别嘚瑟啦~）

所以，在华为技术正式做出“漏洞修复计划”回应之前，第三方App开发者们可以尝试华为AppGallery DRM 数字保护服务。

这个“不用付费就能使用付费App”、涉及App侧载的“漏洞”出现，华为似乎仍未解决？ 鸿蒙OS用户注意了，不要故意动歪脑筋……

保护数字知识产权，你们同样人人有责~

php开发api接口,如何做才算是安全的

这个问题很深

安全，不敢当，因为web安全问题很多，不仅仅是PHP编码而已，有很多安全上的问题需要做处理，像服务器漏洞、端口开放都会导致被黑，这都是很正常的。

只能说 比如在我做PHP开发过程的一些安全保护和在网络安全公司开发时的工作要求：

1、最基础的，提供的api接口 要配置https。

2、api返回响应的信息，要尽可能使用消息加密返回，如高位数的 rsa加密内容。

3、接收的回调开放接口，尽可能做到使用回调黑、白名单，如加ip白名单放行，或ip黑名单禁止访问。

4、不要相信用户输入、输入信息要进行编码转换、转义、过滤、使用框架和插件进行处理，如MySQL查询的要进行参数绑定、如显示问题要避免xss攻击会进行过滤。

5、授权操作，错误限制设置阀值、超过阀值限制访问、如最基础的登录功能。

6、常见额弱口令问题导致漏铜，应设置高强度口令，避免程序爆破。

7、文件上传问题、应严格校验文件类型、后缀、格式、及文件目录权限设置，从而避免文件上传漏洞导致恶意代码或webshell攻击。

8、开发环境和生产环境隔开，不要再生产上面开debug、及时更新使用框架漏洞补丁如PHP国内常用 tp系列以前偶尔爆出漏洞（我用的较多就是tp5 ....），还有框架不要用最新要选择最稳定的。

最后注意不管是验证还是过滤，在客户端执行过一次也好，在服务端，都要再次执行验证和校验。

和盛之文  我的文章保存网站，欢迎访问学习或参考

gitlab漏洞系列

gitlab漏洞系列-“外部状态检查”API泄漏关于实例的状态检查的数据

这个漏洞是joaxcar小哥在2021年10月份提交的:

用于从外部状态检查返回批准的API接口包含一个IDOR，该IDOR允许用户列出关于GitLab实例上所有外部状态检查的信息。该功能是一个终极版功能(注:终极版一般都是付费的)，但可以在GitLab.com上试用。所以攻击的是可能是一个常规帐户。

当配置了外部状态检查时，项目将向指定的端点发送关于MRs的信息。然后可以配置这个端点来响应“通过”状态检查的请求。文档详见: https://docs.gitlab.com/ee/user/project/merge_requests/status_checks.html;这个API的接口是:

关键参数为 sha 和 external_status_check_id 。这个参数告诉GitLab请求的目标是哪个外部状态检查。从GitLab返回的是JSON，包含关于MR的信息，但也包含关于状态检查配置的信息。通过修改发送的ID，用户可以获得实例上任何状态检查的信息(甚至来自Private的项目)。

关于状态检查的泄露信息可能包含:

1.创建两个用户:受害用户victim01和攻击用户attacker01

2.以victim01的身份登录，并在 https://gitlab.domain.com/projects/new#blank_project 上创建一个名为victim_project的新私有项目

3.转到项目设置 https://gitlab.domain.com/victim01/victim_project/edit ，在“General”下展开“Merge request”。向下滚动到“状态检查”，然后单击“新建”

4.将状态检查命名为“受害者状态检查”，并输入API端点 https://victim.hidden.com 。

5.点击保存

6.登出并以attacker01登陆

7.再次执行步骤2到5，但将项目命名为attacker_project并进行状态检查。记下项目的ID。我们称之为attackid

8.在 https://gitlab.domain.com/attacker01/attacker_project/-/branches/new 创建分支attacker_project

9.当分支被创建时，点击 Create new merge request 。将MR随意命名并单击创建。

10.访问 https://gitlab.domain.com/-/profile/personal_access_tokens 并为attacker01创建一个访问令牌，我们将其称为TOKEN

11.打开终端并发出此请求(这里的SHA只是“a”，我们将得到正确的响应)

12.这个初始请求将返回一个错误，主要是返回正确的 sha 是 sha 这样的信息

13.现在发送正确的SHA:

14.我们将得到一个响应，其中包含关于MR的信息，最后是关于状态检查的信息

15.现在再次发送相同的请求，但将状态检查id更改为1

16.同样的MR信息会被返回，但是最后会有来自victim_project的关于私有状态检查的信息 关于api接口漏洞和防止api接口暴露的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。 api接口漏洞的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于防止api接口暴露、api接口漏洞的信息别忘了在本站进行查找喔。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。