So stoppen Sie die Verhinderung der OTP-Umgehung durch Antwortmanipulation

In diesem Blogbeitrag wird erläutert, wie OTP-Bypass-Angriffe (One-Time-Password) effektiv verhindert werden können. Der Schwerpunkt liegt dabei auf Node.js und React.js, lässt sich aber auch auf andere Technologien anwenden. Es beschreibt Techniken und Best Practices zur Sicherung Ihrer OTP-Implementierung.

OTP-Bypass-Angriffe verstehen

OTP-Bypass nutzt Anwendungsschwachstellen aus, um unbefugten Zugriff ohne gültiges OTP zu erhalten. Angreifer könnten ungültige oder abgelaufene OTPs verwenden oder API-Antworten manipulieren (häufig mithilfe von Tools wie Burp Suite), um die OTP-Überprüfung zu umgehen. Ein häufiger Angriff besteht darin, eine gültige Antwort eines legitimen Benutzers abzufangen und sie für unbefugten Zugriff wiederzuverwenden.

Verhindern von Antwortmanipulationen

Eine einfache Verschlüsselung von API-Antworten reicht nicht aus. Während die Verschlüsselung (mittels AES oder RSA) die Daten während der Übertragung schützt, führen identische Antworten für alle Benutzer zu einer Sicherheitslücke. Auch bei Verschlüsselung kann ein Angreifer, wenn die Erfolgs-/Fehlerkriterien ausschließlich auf dem HTTP-Statuscode oder einer konsistenten Erfolgsmeldung („OTP erfolgreich verifiziert“) basieren, die OTP-Verifizierung umgehen, indem er eine erfasste erfolgreiche Antwort wiedergibt.

Eine robuste Lösung: Eindeutige Antwort-IDs

Die Lösung besteht darin, für jede Anfrage eine eindeutige, benutzerspezifische Kennung zu generieren. Dies verhindert Response-Replay-Angriffe. Die beschriebene Methode vermeidet die Verwendung einer Datenbank:

Clientseitige Implementierung (React.js-Beispiel):

1. Nutzlast verschlüsseln: Verschlüsseln Sie die OTP-Daten, bevor Sie sie an den Server senden.
2. Eindeutige ID generieren: Erstellen Sie eine eindeutige 7-stellige ID (UID, rsid). Sie können jede geeignete Methode zur Zufalls-ID-Generierung verwenden.
3. UID im Header senden: Fügen Sie das rsid in den Anforderungsheader ein.
4. API-Aufruf:Senden Sie die verschlüsselten Daten und rsidan den Server.
5. Antwortvalidierung:Entschlüsseln Sie die Antwort des Servers.
6. UID-Übereinstimmung: Vergleichen Sie unbedingt das in der Antwort empfangene rsid mit dem im Anforderungsheader gesendeten. Eine Übereinstimmung zeigt eine erfolgreiche Verifizierung an; Eine Nichtübereinstimmung weist auf einen Angriffsversuch hin.

<code class="language-javascript">const OnSubmit = async () => {
  let data = await AesEncrypt(form);
  let verifyobj = { "encdata": data };
  let getid = await makeid(7);
  let config = { headers: { "rsid": getid } };
  let ApiCallverify = await axios.post("http://localhost:4000/api/verifyotp", verifyobj, config);
  let decryptedData = await Aesdecrypt(ApiCallverify.data.dataenc);
  if (ApiCallverify && ApiCallverify.data.dataenc && ApiCallverify.status === 200) {
    if (decryptedData.rsid === getid) {
      alert(decryptedData.message);
    } else {
      alert("Invalid User");
    }
  } else {
    alert(decryptedData.message);
  }
};</code>

Serverseitige Implementierung (Node.js-Beispiel):

1. Anfragevalidierung:Überprüfen Sie den Anfragetext (verschlüsselte Daten) und das Vorhandensein des rsid-Headers.
2. Entschlüsselung:Entschlüsseln Sie den Anfragetext.
3. OTP-Validierung: Validieren Sie das OTP anhand der Benutzerinformationen (unter Verwendung einer Datenbank oder eines anderen sicheren Speichers).
4. Antwortgenerierung: Wenn die Validierung erfolgreich ist, verschlüsseln Sie die Antwort und fügen Sie das Original rsid aus dem Anforderungsheader ein.
5. Antwort senden:Verschlüsselte Antwort senden.

<code class="language-javascript">const OnSubmit = async () => {
  let data = await AesEncrypt(form);
  let verifyobj = { "encdata": data };
  let getid = await makeid(7);
  let config = { headers: { "rsid": getid } };
  let ApiCallverify = await axios.post("http://localhost:4000/api/verifyotp", verifyobj, config);
  let decryptedData = await Aesdecrypt(ApiCallverify.data.dataenc);
  if (ApiCallverify && ApiCallverify.data.dataenc && ApiCallverify.status === 200) {
    if (decryptedData.rsid === getid) {
      alert(decryptedData.message);
    } else {
      alert("Invalid User");
    }
  } else {
    alert(decryptedData.message);
  }
};</code>

Nachgewiesene Wirksamkeit: Der Blogbeitrag enthält Screenshots, die erfolgreiche Anmeldungen und fehlgeschlagene Versuche mit der Burp Suite zum Abfangen und Ändern von Antworten zeigen. Das einzigartige rsid verhindert erfolgreiche Replay-Angriffe.

Die Bilder bleiben an ihren ursprünglichen Positionen. Beachten Sie, dass die Bild-URLs erhalten bleiben. Um sie korrekt anzuzeigen, muss ein System auf diese URLs zugreifen können.

Das obige ist der detaillierte Inhalt vonSo stoppen Sie die Verhinderung der OTP-Umgehung durch Antwortmanipulation. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!