Laravel
社区 动态 AI作品 话题列表 社区 Wiki 优质外文 招聘求职 Laravel 实战教程 社区文档
登录
注册

登录接口被碰撞攻击怎么处理?

Pon 的个人博客 / 363 / 8 / 创建于 5个月前

目前系统的账号密码登录接口有人再碰撞账号密码,之前前后端使用的AES 加密,因为key在前端写死的,所以加密基本没用。最初对方使用的同一个ip 后面拉黑了,现在使用的是动态的ip。接口是ios/android/web端都在用,通过header传的自定义的字段区分的,web端加了google的人机验证,对方就没有从web端攻击了,但是app 之前发布的版本是没有加google验证的,如果接口强行加上google验证,之前版本的app 就用不了。大佬们怎么处理这种情况更稳妥些?

本作品采用《CC 协议》,转载必须注明作者和本文链接
Pon
课程读者 39 声望
暂无个人描述~
《L04 微信小程序从零到发布》
《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
《L03 构架 API 服务器》
《L03 构架 API 服务器》
你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程,JWT 概念及使用 和 API 开发相关的进阶知识。
讨论数量: 8
排序:
时间 投票
yyy123456
课程读者 367 声望

入口需要特殊路径,比如http://m.com/777YUGKdufE.php,乱码一样的文件名。或路径也行。

5个月前 评论
唐章明 5个月前
你要笑死我,你是thinphp用户吧
Imuyu
课程读者 878 声望

这就属于cc或者ddos攻击了,不同的ip,设备标识,服务端无法区分,可以上防火墙,或者专门的cc服务

5个月前 评论
gyp719
课程读者 274 声望

AES 加密 肯定是没有加上时间戳的校验

// 生成签名
    protected function generateUserApplySign($headers, $secretKey): string
    {
        // 移除 Api-Sign 字段
        if (isset($headers['Api-Sign'])) {
            unset($headers['Api-Sign']);
        }
        ksort($headers);

        $buff = '';
        foreach ($headers as $k => $v) {
            if ($v != "" && !is_array($v)) {
                $buff .= $k . "=" . $v . "&";
            }
        }
        // 去除最后一个&
        $string = trim($buff, "&");
        // 在string后加入KEY
        $string = $string . "&key=" . $secretKey;
        // sha256加密
        $string = hash_hmac('SHA256', $string, $secretKey);
        // 所有字符转为大写
        return strtoupper($string);
    }

  /**
     * 签名验证
     * @param Request $request
     * @return bool
     * @throws InvalidRequestException
     */
    protected function verifyUserApplySign(Request $request): bool
    {
        $requiredHeaders = ['Api-Appid', 'Api-Nonce-Str', 'Api-Timestamp', 'Api-Sign'];

        foreach ($requiredHeaders as $header) {
            if (!$request->headers->has($header)) {
                throw new InvalidRequestException($header . ' 不能为空');
            }
        }
        // 判断 Api-Appid 是否正确
        $userApplySecret = UserApplySecret::query()->where('app_id', $request->headers->get('Api-Appid'))->first();
        if (!$userApplySecret) {
            throw new InvalidRequestException('Api-Appid 不存在');
        }
        if (!$userApplySecret['is_valid']) {
            throw new InvalidRequestException('Api-Appid 已失效');
        }
        // 判断是否过期
        if (Carbon::now()->gt($userApplySecret['valid_at'])) {
            throw new InvalidRequestException('Api-Appid 已过期');
        }
        // 判断请求次数是否超限
        if ($userApplySecret['request_count'] >= $userApplySecret['available_count']) {
            throw new InvalidRequestException('Api-Appid 请求次数已超限');
        }

        $headers = [
            'Api-Appid'     => $request->headers->get('Api-Appid'),
            'Api-Nonce-Str' => $request->headers->get('Api-Nonce-Str'),
            'Api-Timestamp' => $request->headers->get('Api-Timestamp'),
            'Api-Sign'      => $request->headers->get('Api-Sign'),
        ];

        if ($userApplySecret['time_out'] && !$this->allowTimestamp($headers['Api-Timestamp'], $userApplySecret['time_out'])) {
            throw new InvalidRequestException('Api-Timestamp 超时');
        }

        // 生成签名
        $sign = $this->generateUserApplySign($headers, $userApplySecret['secret_key']);

        Log::info('Api-User-Sign: ', ['generateUserApplySign' => $sign, 'Api-User-Sign' => $headers['Api-Sign']]);

        if (!hash_equals($sign, $headers['Api-Sign'])) {
            throw new InvalidRequestException('Api-Sign 不正确');
        }
        // 请求成功, 记录请求次数
        $userApplySecret->increment('request_count');

        return true;
    }
5个月前 评论
忆往昔弹指间
621 声望

兼容性补救措施:
1、自动封IP,从请求信息里面多分析攻击者特征,有相同特征的都封掉,一般的攻击者,IP资源有限的。
2、同一账号限制登录频率。
3、将库里的简单密码用户,全部清理掉密码,后续登录让他们走密码修改流程。(和产品协商)

5个月前 评论
提桶跑路了
见习版主 167 声望

加验证,app做强制更新

5个月前 评论
小猪蹄子
203 声望

要保证以前的可用,先按照IP段代码处理返回500,比如 192.168.1.1 直接就把 192.168.1.* 全部代码处理返回500,再加一个IP日志记录,记录IP的访问次数,有些攻击ip动态也不一定会很多

5个月前 评论
小猪蹄子 (作者) 5个月前
然后就是最好把所有用户的密码过期掉,让用户登陆去改成强密码,不然撞是一回事,到时候撞到了就是另外一回事

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
支持 MD 帮助
Pon
未填写
文章
16
粉丝
0
喜欢
2
收藏
5
排名:861
访问:7549
私信
所有博文
文章归档
1 篇 2025 年 10 月 1 篇 2025 年 8 月 1 篇 2025 年 4 月 1 篇 2024 年 5 月 2 篇 2024 年 4 月 1 篇 2020 年 4 月 2 篇 2020 年 2 月 1 篇 2020 年 1 月 6 篇 2019 年 12 月
最新文章 最受欢迎
3个月前 大佬们docker 环境运行hyperf项目 怎么使用xdebug? 5个月前 登录接口被碰撞攻击怎么处理? 9个月前 laravel 怎么优雅的实现api的多语言? 1年前 今年就业行业到底如何? 说说你失业多久了~ 1年前 大家都是怎么设计项目中的传参的?
2 大家都是怎么设计项目中的传参的? 0 新手学 GO 笔记 0 位运算 0 大佬们docker 环境运行hyperf项目 怎么使用xdebug? 0 GO 笔记-目录
博客标签
数组
1
 进制转换
1
 源码
1
 切片
1
 二进制
4
 方法
1
 枚举
1
 golang
1
 八进制
1
 十进制
1
 十六进制
1
 进制
1
 位运算
1
 fanma
1
 补码
1
 go
2
社区赞助商
成为赞助商

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码 | 方长科技协力运营

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消