怎样保证对外作为公共接口的webapi的安全性
展开全部
现在很多网站都要用到api接口了吧~而且有些程序和网站通讯也必须用到接口。不过接口的最主要安全问题就是逻辑判断的问题比如最常见的就是支付接口,支付接口。举个例子,比如这是某支付的接口的判断处理
这只是个简化版的~只提取了部分的漏洞,好吧orderID打成了orederid了。凑合着吧~然后写个html模拟post提交
不过现在部分支付接口都修复了这个漏洞,改成了主动到服务器上查询支付状态~而不是被动等待服务器返回~但是仍然有一些支付公司没有修复这个漏洞,比如国外某机房的面板,而且这个面板还是很多人都用的收费面板~他的信用卡支付的地方就没有进行验证,如果有账单,选信用卡,用firebug之类的改一个别人的信用卡ID,就可以用别人的信用卡支付(强烈不推荐!!并bs此行为)还有一种漏洞就是程序与web进行通讯,上次在eyuyan.com上看到的~我一看他写的与web进行通讯验证的时候的接口,没有对sql注入做任何过滤~
这只是个简化版的~只提取了部分的漏洞,好吧orderID打成了orederid了。凑合着吧~然后写个html模拟post提交
不过现在部分支付接口都修复了这个漏洞,改成了主动到服务器上查询支付状态~而不是被动等待服务器返回~但是仍然有一些支付公司没有修复这个漏洞,比如国外某机房的面板,而且这个面板还是很多人都用的收费面板~他的信用卡支付的地方就没有进行验证,如果有账单,选信用卡,用firebug之类的改一个别人的信用卡ID,就可以用别人的信用卡支付(强烈不推荐!!并bs此行为)还有一种漏洞就是程序与web进行通讯,上次在eyuyan.com上看到的~我一看他写的与web进行通讯验证的时候的接口,没有对sql注入做任何过滤~
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
广东轻亿云软件
2024-05-14 广告
广东轻亿云软件科技有限公司在软件开发领域深耕多年,积累了丰富的经验和技术实力。我们深知API接口在现代软件开发中的重要性,因此,我们与多家业界领先的API接口提供商保持着紧密的合作关系,确保我们的产品和服务能够充分利用这些接口,为用户提供更...
点击进入详情页
本回答由广东轻亿云软件提供
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
