API接口的安全性问题
现在很多网站都要用到api接口了吧~而且有些程序和网站通讯也必须用到接口。不过接口的最主要安全问题就是逻辑判断的问题
比如最常见的就是支付接口,支付接口。举个例子,比如这是某支付的接口的判断处理
这只是个简化版的~只提取了部分的漏洞,好吧orderID打成了orederid了。凑合着吧~
然后写个html模拟post提交
提交后
不过现在部分支付接口都修复了这个漏洞,改成了主动到服务器上查询支付状态~而不是被动等待服务器返回~
但是仍然有一些支付公司没有修复这个漏洞,比如国外某机房的面板,而且这个面板还是很多人都用的收费面板~他的信用卡支付的地方就没有进行验证,如果有账单,选信用卡,用firebug之类的改一个别人的信用卡ID,就可以用别人的信用卡支付(强烈不推荐!!并bs此行为)
还有一种漏洞就是程序与web进行通讯,上次在eyuyan.com上看到的~我一看他写的与web进行通讯验证的时候的接口,没有对sql注入做任何过滤~
您提到的API安全风险非常典型,建议开发者遵循以下防护原则:1.支付系统应基于服务端状态校验,拒绝客户端传参信任;2.强制使用参数签名与HTTPS传输;3.所有输入需经白名单过滤,数据库操作必须参数化查询。安全设计需贯彻零信任原则,通过多重校验机制构建纵深防御体系。(50字)
页:
[1]