応答操作による OTP バイパスの防止を停止する方法-jsチュートリアル-php.cn

ホームページ

ウェブフロントエンド

jsチュートリアル

応答操作による OTP バイパスの防止を停止する方法

Linda Hamilton

Jan 22, 2025 pm 10:45 PM

このブログ投稿では、OTP (ワンタイムパスワード) バイパス攻撃を効果的に防ぐ方法について説明します。Node.js と React.js に焦点を当てていますが、他のテクノロジーにも適用できます。 OTP の実装を保護するための技術とベストプラクティスについて詳しく説明します。

OTP バイパス攻撃について

OTP バイパスは、アプリケーションの脆弱性を悪用して、有効な OTP なしで不正アクセスを取得します。攻撃者は、OTP 検証を回避するために、無効または期限切れの OTP を使用したり、API 応答を操作したり (Burp Suite などのツールを使用することが多い) する可能性があります。一般的な攻撃には、正規のユーザーからの有効な応答を傍受し、それを不正アクセスに再利用することが含まれます。

応答操作の防止

API レスポンスを暗号化するだけでは十分ではありません。暗号化 (AES または RSA を使用) は転送中のデータを保護しますが、すべてのユーザーに対して同じ応答を行うと脆弱性が生じます。暗号化を使用している場合でも、成功/失敗の基準が HTTP ステータスコードまたは一貫した成功メッセージ (「OTP が正常に検証されました」) のみに基づいている場合、攻撃者はキャプチャされた成功応答を再生することで OTP 検証をバイパスできます。

堅牢なソリューション: 固有の応答 ID

この解決策には、リクエストごとにユーザーごとに一意の識別子を生成することが含まれます。これにより、応答リプレイ攻撃が防止されます。概要を説明した方法では、データベースの使用を回避します。

クライアント側の実装 (React.js の例):

ペイロードの暗号化: サーバーに送信する前に OTP データを暗号化します。
一意の ID の生成: 一意の 7 文字の ID (UID、rsid) を作成します。適切なランダム ID 生成方法を使用できます。
ヘッダーで UID を送信: リクエストヘッダーに rsid を含めます。
API 呼び出し: 暗号化されたデータと rsid をサーバーに送信します。
応答の検証: サーバーの応答を復号化します。
UID マッチング: 重要なのは、応答で受信した rsid と要求ヘッダーで送信された

const OnSubmit = async () => {
  let data = await AesEncrypt(form);
  let verifyobj = { "encdata": data };
  let getid = await makeid(7);
  let config = { headers: { "rsid": getid } };
  let ApiCallverify = await axios.post("http://localhost:4000/api/verifyotp", verifyobj, config);
  let decryptedData = await Aesdecrypt(ApiCallverify.data.dataenc);
  if (ApiCallverify && ApiCallverify.data.dataenc && ApiCallverify.status === 200) {
    if (decryptedData.rsid === getid) {
      alert(decryptedData.message);
    } else {
      alert("Invalid User");
    }
  } else {
    alert(decryptedData.message);
  }
};

サーバー側の実装 (Node.js の例):

リクエストの検証: リクエストの本文 (暗号化されたデータ) と rsid ヘッダーの存在を確認します。
復号化: リクエスト本文を復号化します。
OTP 検証: (データベースまたはその他の安全なストレージを使用して) ユーザーの情報と照合して OTP を検証します。
レスポンスの生成: 検証が成功した場合、レスポンスを暗号化し、リクエストヘッダーの元の rsid を含めます。
応答の送信: 暗号化された応答を送信します。

const OnSubmit = async () => {
  let data = await AesEncrypt(form);
  let verifyobj = { "encdata": data };
  let getid = await makeid(7);
  let config = { headers: { "rsid": getid } };
  let ApiCallverify = await axios.post("http://localhost:4000/api/verifyotp", verifyobj, config);
  let decryptedData = await Aesdecrypt(ApiCallverify.data.dataenc);
  if (ApiCallverify && ApiCallverify.data.dataenc && ApiCallverify.status === 200) {
    if (decryptedData.rsid === getid) {
      alert(decryptedData.message);
    } else {
      alert("Invalid User");
    }
  } else {
    alert(decryptedData.message);
  }
};

実証された効果: ブログ投稿には、Burp Suite を使用して応答を傍受し、変更することによるログインの成功と試行の失敗を示すスクリーンショットが含まれています。独自の rsid により、リプレイ攻撃の成功を防ぎます。

How to stop preventing OTP Bypass through Response Manipulation

画像は元の位置に残ります。画像の URL は保持されることに注意してください。これらを正しく表示するには、システムがそれらの URL にアクセスできる必要があります。

以上が応答操作による OTP バイパスの防止を停止する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

JavaScriptのデータ型：ブラウザとNodejsに違いはありますか？May 14, 2025 am 12:15 AM

JavaScriptコアデータ型は、ブラウザとnode.jsで一貫していますが、余分なタイプとは異なる方法で処理されます。 1）グローバルオブジェクトはブラウザのウィンドウであり、node.jsのグローバルです2）バイナリデータの処理に使用されるNode.jsの一意のバッファオブジェクト。 3）パフォーマンスと時間の処理にも違いがあり、環境に従ってコードを調整する必要があります。

JavaScriptコメント：//および / * *を使用するためのガイドMay 13, 2025 pm 03:49 PM

javascriptusestwotypesofcomments：シングルライン（//）およびマルチライン（//）

Python vs. JavaScript：開発者の比較分析May 09, 2025 am 12:22 AM

PythonとJavaScriptの主な違いは、タイプシステムとアプリケーションシナリオです。 1。Pythonは、科学的コンピューティングとデータ分析に適した動的タイプを使用します。 2。JavaScriptは弱いタイプを採用し、フロントエンドとフルスタックの開発で広く使用されています。この2つは、非同期プログラミングとパフォーマンスの最適化に独自の利点があり、選択する際にプロジェクトの要件に従って決定する必要があります。

Python vs. JavaScript：ジョブに適したツールを選択するMay 08, 2025 am 12:10 AM

PythonまたはJavaScriptを選択するかどうかは、プロジェクトの種類によって異なります。1）データサイエンスおよび自動化タスクのPythonを選択します。 2）フロントエンドとフルスタック開発のためにJavaScriptを選択します。 Pythonは、データ処理と自動化における強力なライブラリに好まれていますが、JavaScriptはWebインタラクションとフルスタック開発の利点に不可欠です。

PythonとJavaScript：それぞれの強みを理解するMay 06, 2025 am 12:15 AM

PythonとJavaScriptにはそれぞれ独自の利点があり、選択はプロジェクトのニーズと個人的な好みに依存します。 1. Pythonは、データサイエンスやバックエンド開発に適した簡潔な構文を備えた学習が簡単ですが、実行速度が遅くなっています。 2。JavaScriptはフロントエンド開発のいたるところにあり、強力な非同期プログラミング機能を備えています。 node.jsはフルスタックの開発に適していますが、構文は複雑でエラーが発生しやすい場合があります。

JavaScriptのコア：CまたはCの上に構築されていますか？May 05, 2025 am 12:07 AM

javascriptisnotbuiltoncorc;それは、解釈されていることを解釈しました。

JavaScriptアプリケーション：フロントエンドからバックエンドまでMay 04, 2025 am 12:12 AM

JavaScriptは、フロントエンドおよびバックエンド開発に使用できます。フロントエンドは、DOM操作を介してユーザーエクスペリエンスを強化し、バックエンドはnode.jsを介してサーバータスクを処理することを処理します。 1.フロントエンドの例：Webページテキストのコンテンツを変更します。 2。バックエンドの例：node.jsサーバーを作成します。

Python vs. Javascript：どの言語を学ぶべきですか？May 03, 2025 am 12:10 AM

PythonまたはJavaScriptの選択は、キャリア開発、学習曲線、エコシステムに基づいている必要があります。1）キャリア開発：Pythonはデータサイエンスとバックエンド開発に適していますが、JavaScriptはフロントエンドおよびフルスタック開発に適しています。 2）学習曲線：Python構文は簡潔で初心者に適しています。 JavaScriptの構文は柔軟です。 3）エコシステム：Pythonには豊富な科学コンピューティングライブラリがあり、JavaScriptには強力なフロントエンドフレームワークがあります。

See all articles

ホットAIツール

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

脱衣画像を無料で

Clothoff.io

AI衣類リムーバー

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

ホットツール

MinGW - Minimalist GNU for Windows

このプロジェクトは osdn.net/projects/mingw に移行中です。引き続きそこでフォローしていただけます。 MinGW: GNU Compiler Collection (GCC) のネイティブ Windows ポートであり、ネイティブ Windows アプリケーションを構築するための自由に配布可能なインポートライブラリとヘッダーファイルであり、C99 機能をサポートする MSVC ランタイムの拡張機能が含まれています。すべての MinGW ソフトウェアは 64 ビット Windows プラットフォームで実行できます。

Safe Exam Browser

Safe Exam Browser は、オンライン試験を安全に受験するための安全なブラウザ環境です。このソフトウェアは、あらゆるコンピュータを安全なワークステーションに変えます。あらゆるユーティリティへのアクセスを制御し、学生が無許可のリソースを使用するのを防ぎます。

DVWA

Damn Vulnerable Web App (DVWA) は、非常に脆弱な PHP/MySQL Web アプリケーションです。その主な目的は、セキュリティ専門家が法的環境でスキルとツールをテストするのに役立ち、Web 開発者が Web アプリケーションを保護するプロセスをより深く理解できるようにし、教師/生徒が教室環境で Web アプリケーションを教え/学習できるようにすることです。安全。 DVWA の目標は、シンプルでわかりやすいインターフェイスを通じて、さまざまな難易度で最も一般的な Web 脆弱性のいくつかを実践することです。このソフトウェアは、