01、接口防刷
1.为什么会有人要刷接口?
-
牟利:黄牛在 12306 网上抢票再倒卖。
-
恶意攻击竞争对手:如短信接口被请求一次,会触发几分钱的运营商费用,当量级大了也很可观。
-
压测:用apache bench 做压力测试。
2.什么行为判定为刷接口?
-
次数多
-
频率频繁,可能 1 秒上千次
-
用户身份难以识别:可能会在刷的过程中随时换浏览器或者 ip
3.如何判断用户粒度
根据当前网页
-
缺点:没有任何意义,一刷新页面用户的身份就变了
根据session
-
缺点:当用户手动清除 cookie 的时候即失效
根据ip
-
优点:伪造成本高
-
缺点:要考虑一个公司、一个小区的人一般会共享一个 ip,所以适当的要放宽对单一 ip 的请求限制
ip 信息是存在请求头里的,而 https 对请求本身做了加密,可以防止 ip 信息被伪造或篡改。所以推荐服务器采用https传输。
如何处理恶意请求
1. 业务逻辑上拒绝该用户参与
-
例如限制用户登录,用户必须达到一定条件才可以(任务限制,金额限制,参与次数限制)
2.奖励发放的限制
-
奖励每天发放次数限制,奖励每天发放总量限制,用户每天参与次数限制,用户每天获取总量限制
3.IP频率限制
通过 memcached 和 redis 都有成熟的方案。
Memcached教程:
https://www.runoob.com/memcached/memcached-tutorial.html
4. 验证码&短信限制
可以通过要求用户输入验证码or短信验证码验证用户真实性,但是也要保证短信接口不会被刷。
-
优点:可以精准识别请求是真人还是机器发出的,二次筛选出真正的用户
-
缺点:不够人性化,用户操作时间长、体验差
5.用户权限判断
基础的用户行为分析,就是结合业务逻辑,在代码实现层面对进行完善的用户权限判断。
从代码层次限制用户
6.防范XSS、CSRF、SQL注入攻击
这是常见的WEB接口安全防范手段,XSS、CSRF、SQL注入,对参数过滤转义,表单验证等等。
7.人工干预
以上方法需要结合使用才能提高安全和破解的难度,单独使用都有很容易破解的方法,除此之外,人工干预也是很重要的,一定要在后台观察数据,及时发现异常的数据并排查隐患。
感谢每一个认真阅读我文章的人,看着粉丝一路的上涨和关注,礼尚往来总是要有的,虽然不是什么很值钱的东西,如果你用得到的话可以直接免费拿走:
① 2000多本软件测试电子书(主流和经典的书籍应该都有了)
② 软件测试/自动化测试标准库资料(最全中文版)
③ 项目源码(四五十个有趣且经典的练手项目及源码)
④ Python编程语言、API接口自动化测试、web自动化测试、App自动化测试(适合小白学习)
⑤ Python学习路线图(告别不入流的学习)
上图的资料 在我的QQ技术交流群里(技术交流和资源共享,广告进来腿给你打断)
可以自助拿走,群号953306497(备注“csdn111”)群里的免费资料都是笔者十多年测试生涯的精华。还有同行大神一起交流技术哦。
标签:限制,请求,ip,用户,接口,测试,几点,安全性 来源: https://blog.csdn.net/m0_59868866/article/details/121561057
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。