cari
Rumahhujung hadapan webtutorial jsBagaimana untuk berhenti menghalang Pintasan OTP melalui Manipulasi Respons

Bagaimana untuk berhenti menghalang Pintasan OTP melalui Manipulasi Respons

Linda Hamilton
Linda Hamilton
Jan 22, 2025 pm 10:45 PM

Catatan blog ini menerangkan cara untuk mencegah serangan pintasan OTP (Kata Laluan Satu Kali) dengan berkesan, memfokuskan pada Node.js dan React.js, tetapi boleh digunakan pada teknologi lain. Ia memperincikan teknik dan amalan terbaik untuk menjamin pelaksanaan OTP anda.

Memahami Serangan Pintasan OTP

Pintas OTP mengeksploitasi kelemahan aplikasi untuk mendapatkan akses tanpa kebenaran tanpa OTP yang sah. Penyerang mungkin menggunakan OTP yang tidak sah atau tamat tempoh, atau memanipulasi respons API (selalunya menggunakan alatan seperti Burp Suite) untuk memintas pengesahan OTP. Serangan biasa melibatkan memintas respons yang sah daripada pengguna yang sah dan menggunakannya semula untuk akses tanpa kebenaran.

Mencegah Manipulasi Tindak Balas

Menyulitkan respons API sahaja tidak mencukupi. Walaupun penyulitan (menggunakan AES atau RSA) melindungi data dalam transit, respons yang sama untuk semua pengguna mewujudkan kelemahan. Walaupun dengan penyulitan, jika kriteria kejayaan/kegagalan hanya berdasarkan kod status HTTP atau mesej kejayaan yang konsisten ("OTP disahkan berjaya"), penyerang masih boleh memintas pengesahan OTP dengan memainkan semula respons berjaya yang ditangkap.

Penyelesaian Teguh: ID Respons Unik

Penyelesaian melibatkan penjanaan pengecam setiap pengguna yang unik untuk setiap permintaan. Ini menghalang serangan ulang tayang tindak balas. Kaedah yang digariskan mengelakkan penggunaan pangkalan data:

Pelaksanaan Bahagian Pelanggan (contoh React.js):

  1. Sulitkan Muatan: Sulitkan data OTP sebelum menghantarnya ke pelayan.
  2. Jana ID Unik: Buat ID 7 aksara yang unik (UID, rsid). Anda boleh menggunakan mana-mana kaedah penjanaan ID rawak yang sesuai.
  3. Hantar UID dalam Pengepala: Sertakan rsid dalam pengepala permintaan.
  4. Panggilan API: Hantar data yang disulitkan dan rsid ke pelayan.
  5. Pengesahan Balasan: Nyahsulit respons pelayan.
  6. Padanan UID: Yang penting, bandingkan rsid yang diterima dalam respons dengan yang dihantar dalam pengepala permintaan. Padanan menunjukkan pengesahan yang berjaya; ketidakpadanan menandakan percubaan serangan.
const OnSubmit = async () => {
  let data = await AesEncrypt(form);
  let verifyobj = { "encdata": data };
  let getid = await makeid(7);
  let config = { headers: { "rsid": getid } };
  let ApiCallverify = await axios.post("http://localhost:4000/api/verifyotp", verifyobj, config);
  let decryptedData = await Aesdecrypt(ApiCallverify.data.dataenc);
  if (ApiCallverify && ApiCallverify.data.dataenc && ApiCallverify.status === 200) {
    if (decryptedData.rsid === getid) {
      alert(decryptedData.message);
    } else {
      alert("Invalid User");
    }
  } else {
    alert(decryptedData.message);
  }
};

Pelaksanaan Bahagian Pelayan (contoh Node.js):

  1. Permintaan Pengesahan: Sahkan badan permintaan (data yang disulitkan) dan kehadiran pengepala rsid.
  2. Penyahsulitan: Nyahsulit badan permintaan.
  3. Pengesahan OTP: Sahkan OTP terhadap maklumat pengguna (menggunakan pangkalan data atau storan selamat yang lain).
  4. Penjanaan Respons: Jika pengesahan berjaya, sulitkan respons dan masukkan rsid asal daripada pengepala permintaan.
  5. Penghantaran Balasan: Hantar respons yang disulitkan.
const OnSubmit = async () => {
  let data = await AesEncrypt(form);
  let verifyobj = { "encdata": data };
  let getid = await makeid(7);
  let config = { headers: { "rsid": getid } };
  let ApiCallverify = await axios.post("http://localhost:4000/api/verifyotp", verifyobj, config);
  let decryptedData = await Aesdecrypt(ApiCallverify.data.dataenc);
  if (ApiCallverify && ApiCallverify.data.dataenc && ApiCallverify.status === 200) {
    if (decryptedData.rsid === getid) {
      alert(decryptedData.message);
    } else {
      alert("Invalid User");
    }
  } else {
    alert(decryptedData.message);
  }
};

Keberkesanan yang Ditunjukkan: Catatan blog termasuk tangkapan skrin yang menunjukkan log masuk yang berjaya dan percubaan yang gagal menggunakan Burp Suite untuk memintas dan mengubah suai respons. rsid unik menghalang serangan ulangan yang berjaya.

How to stop preventing OTP Bypass through Response Manipulation How to stop preventing OTP Bypass through Response Manipulation How to stop preventing OTP Bypass through Response Manipulation How to stop preventing OTP Bypass through Response Manipulation How to stop preventing OTP Bypass through Response Manipulation How to stop preventing OTP Bypass through Response Manipulation How to stop preventing OTP Bypass through Response Manipulation How to stop preventing OTP Bypass through Response Manipulation How to stop preventing OTP Bypass through Response Manipulation How to stop preventing OTP Bypass through Response Manipulation

Imej kekal dalam kedudukan asalnya. Ambil perhatian bahawa URL imej dipelihara. Untuk memaparkannya dengan betul, sistem perlu boleh mengakses URL tersebut.

Atas ialah kandungan terperinci Bagaimana untuk berhenti menghalang Pintasan OTP melalui Manipulasi Respons. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Artikel Berkaitan
Java vs JavaScript: Perbandingan terperinci untuk pemajuJava vs JavaScript: Perbandingan terperinci untuk pemajuMay 16, 2025 am 12:01 AM

JavaandjavascriptaredistinctLanguages: javaisusedforenterpriseandMobileApps, whilvascriptisforinteractivewebpages.1) javaisco mpiled, statiktyped, andrunsonjvm.2) javascriptisinterinterpreted, dinamicallytyped, andrunsinbrowsersornode.js.3) javausesoopwithcl

Jenis data JavaScript: Adakah terdapat perbezaan antara penyemak imbas dan nodej?Jenis data JavaScript: Adakah terdapat perbezaan antara penyemak imbas dan nodej?May 14, 2025 am 12:15 AM

Jenis data teras JavaScript adalah konsisten dalam penyemak imbas dan node.js, tetapi ditangani secara berbeza dari jenis tambahan. 1) Objek global adalah tetingkap dalam penyemak imbas dan global di Node.js. 2) Objek penampan unik Node.js, digunakan untuk memproses data binari. 3) Terdapat juga perbezaan prestasi dan pemprosesan masa, dan kod perlu diselaraskan mengikut persekitaran.

Komen JavaScript: Panduan untuk menggunakan // dan / * * /Komen JavaScript: Panduan untuk menggunakan // dan / * * /May 13, 2025 pm 03:49 PM

JavaScriptusestWotypesofcomments: Single-line (//) danMulti-line (//)

Python vs JavaScript: Analisis Perbandingan untuk PemajuPython vs JavaScript: Analisis Perbandingan untuk PemajuMay 09, 2025 am 12:22 AM

Perbezaan utama antara Python dan JavaScript ialah sistem jenis dan senario aplikasi. 1. Python menggunakan jenis dinamik, sesuai untuk pengkomputeran saintifik dan analisis data. 2. JavaScript mengamalkan jenis yang lemah dan digunakan secara meluas dalam pembangunan depan dan stack penuh. Kedua -duanya mempunyai kelebihan mereka sendiri dalam pengaturcaraan dan pengoptimuman prestasi yang tidak segerak, dan harus diputuskan mengikut keperluan projek ketika memilih.

Python vs JavaScript: Memilih alat yang sesuai untuk pekerjaanPython vs JavaScript: Memilih alat yang sesuai untuk pekerjaanMay 08, 2025 am 12:10 AM

Sama ada untuk memilih Python atau JavaScript bergantung kepada jenis projek: 1) Pilih Python untuk Sains Data dan Tugas Automasi; 2) Pilih JavaScript untuk pembangunan front-end dan penuh. Python disukai untuk perpustakaannya yang kuat dalam pemprosesan data dan automasi, sementara JavaScript sangat diperlukan untuk kelebihannya dalam interaksi web dan pembangunan stack penuh.

Python dan javascript: memahami kekuatan masing -masingPython dan javascript: memahami kekuatan masing -masingMay 06, 2025 am 12:15 AM

Python dan JavaScript masing -masing mempunyai kelebihan mereka sendiri, dan pilihan bergantung kepada keperluan projek dan keutamaan peribadi. 1. Python mudah dipelajari, dengan sintaks ringkas, sesuai untuk sains data dan pembangunan back-end, tetapi mempunyai kelajuan pelaksanaan yang perlahan. 2. JavaScript berada di mana-mana dalam pembangunan front-end dan mempunyai keupayaan pengaturcaraan tak segerak yang kuat. Node.js menjadikannya sesuai untuk pembangunan penuh, tetapi sintaks mungkin rumit dan rawan kesilapan.

Inti JavaScript: Adakah ia dibina di atas C atau C?Inti JavaScript: Adakah ia dibina di atas C atau C?May 05, 2025 am 12:07 AM

Javascriptisnotbuiltoncorc; it'saninterpretedlanguagethatrunsonenginesoftenwritteninc .1) javascriptwasdesignedasalightweight, interpratedlanguageforwebbrowsers.2)

Aplikasi JavaScript: Dari Front-End ke Back-EndAplikasi JavaScript: Dari Front-End ke Back-EndMay 04, 2025 am 12:12 AM

JavaScript boleh digunakan untuk pembangunan front-end dan back-end. Bahagian depan meningkatkan pengalaman pengguna melalui operasi DOM, dan back-end mengendalikan tugas pelayan melalui Node.js. 1. Contoh front-end: Tukar kandungan teks laman web. 2. Contoh backend: Buat pelayan Node.js.

See all articles

Alat AI Hot

Undresser.AI Undress

Undresser.AI Undress

Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover

AI Clothes Remover

Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool

Undress AI Tool

Gambar buka pakaian secara percuma

Clothoff.io

Clothoff.io

Penyingkiran pakaian AI

Video Face Swap

Video Face Swap

Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!

Tunjukkan Lagi

Artikel Panas

<🎜>: Tumbuh Taman - Panduan Mutasi Lengkap
4 minggu yang laluByDDD
<🎜>: Bubble Gum Simulator Infinity - Cara Mendapatkan dan Menggunakan Kekunci Diraja
4 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌
Nordhold: Sistem Fusion, dijelaskan
1 bulan yang laluBy尊渡假赌尊渡假赌尊渡假赌
Mandragora: Whispers of the Witch Tree - Cara Membuka Kunci Cangkuk Bergelut
4 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌
<🎜> obscur: Ekspedisi 33 - Cara mendapatkan pemangkin Chroma yang sempurna
2 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌
Tunjukkan Lagi

Alat panas

ZendStudio 13.5.1 Mac

ZendStudio 13.5.1 Mac

Persekitaran pembangunan bersepadu PHP yang berkuasa

SecLists

SecLists

SecLists ialah rakan penguji keselamatan muktamad. Ia ialah koleksi pelbagai jenis senarai yang kerap digunakan semasa penilaian keselamatan, semuanya di satu tempat. SecLists membantu menjadikan ujian keselamatan lebih cekap dan produktif dengan menyediakan semua senarai yang mungkin diperlukan oleh penguji keselamatan dengan mudah. Jenis senarai termasuk nama pengguna, kata laluan, URL, muatan kabur, corak data sensitif, cangkerang web dan banyak lagi. Penguji hanya boleh menarik repositori ini ke mesin ujian baharu dan dia akan mempunyai akses kepada setiap jenis senarai yang dia perlukan.

Muat turun versi mac editor Atom

Muat turun versi mac editor Atom

Editor sumber terbuka yang paling popular

MinGW - GNU Minimalis untuk Windows

MinGW - GNU Minimalis untuk Windows

Projek ini dalam proses untuk dipindahkan ke osdn.net/projects/mingw, anda boleh terus mengikuti kami di sana. MinGW: Port Windows asli bagi GNU Compiler Collection (GCC), perpustakaan import yang boleh diedarkan secara bebas dan fail pengepala untuk membina aplikasi Windows asli termasuk sambungan kepada masa jalan MSVC untuk menyokong fungsi C99. Semua perisian MinGW boleh dijalankan pada platform Windows 64-bit.

MantisBT

MantisBT

Mantis ialah alat pengesan kecacatan berasaskan web yang mudah digunakan yang direka untuk membantu dalam pengesanan kecacatan produk. Ia memerlukan PHP, MySQL dan pelayan web. Lihat perkhidmatan demo dan pengehosan kami.

Tunjukkan Lagi

Topik panas

Tutorial Java
1677
14
Tutorial CakePHP
1430
52
Tutorial Laravel
1333
25
Tutorial PHP
1278
29
Tutorial C#
1257
24
Tunjukkan Lagi