如何停止透過響應操縱來防止 OTP 繞過
這篇部落格文章解釋如何有效防止 OTP(一次性密碼)繞過攻擊,並專注於 Node.js 和 React.js,但也適用於其他技術。 它詳細介紹了保護 OTP 實施的技術和最佳實踐。
了解 OTP 繞過攻擊
OTP 繞過利用應用程式漏洞在沒有有效 OTP 的情況下獲得未經授權的存取。 攻擊者可能會使用無效或過期的 OTP,或操縱 API 回應(通常使用 Burp Suite 等工具)來規避 OTP 驗證。 常見的攻擊包括攔截合法用戶的有效回應並將其重新用於未經授權的存取。
防止反應操縱
僅僅加密 API 回應是不夠的。雖然加密(使用 AES 或 RSA)可以保護傳輸中的數據,但所有使用者的相同回應會產生漏洞。 即使使用加密,如果成功/失敗標準僅基於 HTTP 狀態代碼或一致的成功訊息(“OTP 驗證成功”),攻擊者仍然可以透過重播捕獲的成功回應來繞過 OTP 驗證。
強大的解決方案:唯一的回應 ID
此解決方案涉及為每個請求產生唯一的每個使用者識別碼。這可以防止響應重播攻擊。 概述的方法避免使用資料庫:
客戶端實作(React.js 範例):
- 加密有效負載:在將 OTP 資料傳送到伺服器之前對其進行加密。
-
產生唯一 ID: 建立唯一的 7 字元 ID(UID,
rsid)。 您可以使用任何合適的隨機 ID 產生方法。 -
在標頭中傳送 UID: 在請求標頭中包含
rsid。 -
API呼叫:將加密資料和
rsid傳送到伺服器。 - 回應驗證:解密伺服器的回應。
-
UID 匹配: 至關重要的是,將回應中收到的
rsid與請求標頭中發送的 進行比較。 匹配表示驗證成功;不匹配表示有攻擊企圖。
const OnSubmit = async () => {
let data = await AesEncrypt(form);
let verifyobj = { "encdata": data };
let getid = await makeid(7);
let config = { headers: { "rsid": getid } };
let ApiCallverify = await axios.post("http://localhost:4000/api/verifyotp", verifyobj, config);
let decryptedData = await Aesdecrypt(ApiCallverify.data.dataenc);
if (ApiCallverify && ApiCallverify.data.dataenc && ApiCallverify.status === 200) {
if (decryptedData.rsid === getid) {
alert(decryptedData.message);
} else {
alert("Invalid User");
}
} else {
alert(decryptedData.message);
}
};伺服器端實作(Node.js 範例):
<🎜>- 請求驗證: 驗證請求正文(加密資料)以及
rsid標頭是否存在。 - 解密:解密請求正文。
- OTP 驗證: 根據使用者資訊驗證 OTP(使用資料庫或其他安全儲存)。
- 回應產生: 如果驗證成功,則加密回應並包含請求標頭中的原始
rsid。 - 回應發送:發送加密的回應。
const OnSubmit = async () => {
let data = await AesEncrypt(form);
let verifyobj = { "encdata": data };
let getid = await makeid(7);
let config = { headers: { "rsid": getid } };
let ApiCallverify = await axios.post("http://localhost:4000/api/verifyotp", verifyobj, config);
let decryptedData = await Aesdecrypt(ApiCallverify.data.dataenc);
if (ApiCallverify && ApiCallverify.data.dataenc && ApiCallverify.status === 200) {
if (decryptedData.rsid === getid) {
alert(decryptedData.message);
} else {
alert("Invalid User");
}
} else {
alert(decryptedData.message);
}
};展示的有效性: 這篇部落格文章包含顯示成功登入和使用 Burp Suite 攔截和修改回應的失敗嘗試的螢幕截圖。獨特的rsid可以防止成功的重播攻擊。
影像保持在原來的位置。 請注意,圖像 URL 會被保留。 為了正確顯示它們,系統需要能夠存取這些 URL。
以上是如何停止透過響應操縱來防止 OTP 繞過的詳細內容。更多資訊請關注PHP中文網其他相關文章!
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!
熱門文章
熱工具
記事本++7.3.1
好用且免費的程式碼編輯器
SublimeText3漢化版
中文版,非常好用
禪工作室 13.0.1
強大的PHP整合開發環境
Dreamweaver CS6
視覺化網頁開發工具
SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)
Python vs. JavaScript:學習曲線和易用性
Apr 16, 2025 am 12:12 AM
Python更適合初學者,學習曲線平緩,語法簡潔;JavaScript適合前端開發,學習曲線較陡,語法靈活。 1.Python語法直觀,適用於數據科學和後端開發。 2.JavaScript靈活,廣泛用於前端和服務器端編程。
從C/C到JavaScript:所有工作方式
Apr 14, 2025 am 12:05 AM
從C/C 轉向JavaScript需要適應動態類型、垃圾回收和異步編程等特點。 1)C/C 是靜態類型語言,需手動管理內存,而JavaScript是動態類型,垃圾回收自動處理。 2)C/C 需編譯成機器碼,JavaScript則為解釋型語言。 3)JavaScript引入閉包、原型鍊和Promise等概念,增強了靈活性和異步編程能力。
JavaScript和Web:核心功能和用例
Apr 18, 2025 am 12:19 AM
JavaScript在Web開發中的主要用途包括客戶端交互、表單驗證和異步通信。 1)通過DOM操作實現動態內容更新和用戶交互;2)在用戶提交數據前進行客戶端驗證,提高用戶體驗;3)通過AJAX技術實現與服務器的無刷新通信。
JavaScript在行動中:現實世界中的示例和項目
Apr 19, 2025 am 12:13 AM
JavaScript在現實世界中的應用包括前端和後端開發。 1)通過構建TODO列表應用展示前端應用,涉及DOM操作和事件處理。 2)通過Node.js和Express構建RESTfulAPI展示後端應用。
了解JavaScript引擎:實施詳細信息
Apr 17, 2025 am 12:05 AM
理解JavaScript引擎內部工作原理對開發者重要,因為它能幫助編寫更高效的代碼並理解性能瓶頸和優化策略。 1)引擎的工作流程包括解析、編譯和執行三個階段;2)執行過程中,引擎會進行動態優化,如內聯緩存和隱藏類;3)最佳實踐包括避免全局變量、優化循環、使用const和let,以及避免過度使用閉包。
Python vs. JavaScript:社區,圖書館和資源
Apr 15, 2025 am 12:16 AM
Python和JavaScript在社區、庫和資源方面的對比各有優劣。 1)Python社區友好,適合初學者,但前端開發資源不如JavaScript豐富。 2)Python在數據科學和機器學習庫方面強大,JavaScript則在前端開發庫和框架上更勝一籌。 3)兩者的學習資源都豐富,但Python適合從官方文檔開始,JavaScript則以MDNWebDocs為佳。選擇應基於項目需求和個人興趣。
Python vs. JavaScript:開發環境和工具
Apr 26, 2025 am 12:09 AM
Python和JavaScript在開發環境上的選擇都很重要。 1)Python的開發環境包括PyCharm、JupyterNotebook和Anaconda,適合數據科學和快速原型開發。 2)JavaScript的開發環境包括Node.js、VSCode和Webpack,適用於前端和後端開發。根據項目需求選擇合適的工具可以提高開發效率和項目成功率。
C/C在JavaScript口譯員和編譯器中的作用
Apr 20, 2025 am 12:01 AM
C和C 在JavaScript引擎中扮演了至关重要的角色,主要用于实现解释器和JIT编译器。1)C 用于解析JavaScript源码并生成抽象语法树。2)C 负责生成和执行字节码。3)C 实现JIT编译器,在运行时优化和编译热点代码,显著提高JavaScript的执行效率。
