如何停止透過響應操縱來防止 OTP 繞過-js教程-PHP中文網

首頁

web前端

js教程

如何停止透過響應操縱來防止 OTP 繞過

Linda Hamilton

Jan 22, 2025 pm 10:45 PM

這篇部落格文章解釋如何有效防止 OTP（一次性密碼）繞過攻擊，並專注於 Node.js 和 React.js，但也適用於其他技術。它詳細介紹了保護 OTP 實施的技術和最佳實踐。

了解 OTP 繞過攻擊

OTP 繞過利用應用程式漏洞在沒有有效 OTP 的情況下獲得未經授權的存取。攻擊者可能會使用無效或過期的 OTP，或操縱 API 回應（通常使用 Burp Suite 等工具）來規避 OTP 驗證。常見的攻擊包括攔截合法用戶的有效回應並將其重新用於未經授權的存取。

防止反應操縱

僅僅加密 API 回應是不夠的。雖然加密（使用 AES 或 RSA）可以保護傳輸中的數據，但所有使用者的相同回應會產生漏洞。即使使用加密，如果成功/失敗標準僅基於 HTTP 狀態代碼或一致的成功訊息（“OTP 驗證成功”），攻擊者仍然可以透過重播捕獲的成功回應來繞過 OTP 驗證。

強大的解決方案：唯一的回應 ID

此解決方案涉及為每個請求產生唯一的每個使用者識別碼。這可以防止響應重播攻擊。概述的方法避免使用資料庫：

客戶端實作（React.js 範例）：

加密有效負載：在將 OTP 資料傳送到伺服器之前對其進行加密。
產生唯一 ID： 建立唯一的 7 字元 ID（UID，rsid）。您可以使用任何合適的隨機 ID 產生方法。
在標頭中傳送 UID： 在請求標頭中包含 rsid。
API呼叫：將加密資料和rsid傳送到伺服器。
回應驗證：解密伺服器的回應。
UID 匹配： 至關重要的是，將回應中收到的 rsid 與請求標頭中發送的

const OnSubmit = async () => {
  let data = await AesEncrypt(form);
  let verifyobj = { "encdata": data };
  let getid = await makeid(7);
  let config = { headers: { "rsid": getid } };
  let ApiCallverify = await axios.post("http://localhost:4000/api/verifyotp", verifyobj, config);
  let decryptedData = await Aesdecrypt(ApiCallverify.data.dataenc);
  if (ApiCallverify && ApiCallverify.data.dataenc && ApiCallverify.status === 200) {
    if (decryptedData.rsid === getid) {
      alert(decryptedData.message);
    } else {
      alert("Invalid User");
    }
  } else {
    alert(decryptedData.message);
  }
};

伺服器端實作（Node.js 範例）：

請求驗證： 驗證請求正文（加密資料）以及 rsid 標頭是否存在。
解密：解密請求正文。
OTP 驗證： 根據使用者資訊驗證 OTP（使用資料庫或其他安全儲存）。
回應產生： 如果驗證成功，則加密回應並包含請求標頭中的原始 rsid。
回應發送：發送加密的回應。

const OnSubmit = async () => {
  let data = await AesEncrypt(form);
  let verifyobj = { "encdata": data };
  let getid = await makeid(7);
  let config = { headers: { "rsid": getid } };
  let ApiCallverify = await axios.post("http://localhost:4000/api/verifyotp", verifyobj, config);
  let decryptedData = await Aesdecrypt(ApiCallverify.data.dataenc);
  if (ApiCallverify && ApiCallverify.data.dataenc && ApiCallverify.status === 200) {
    if (decryptedData.rsid === getid) {
      alert(decryptedData.message);
    } else {
      alert("Invalid User");
    }
  } else {
    alert(decryptedData.message);
  }
};

展示的有效性： 這篇部落格文章包含顯示成功登入和使用 Burp Suite 攔截和修改回應的失敗嘗試的螢幕截圖。獨特的rsid可以防止成功的重播攻擊。

How to stop preventing OTP Bypass through Response Manipulation

影像保持在原來的位置。請注意，圖像 URL 會被保留。為了正確顯示它們，系統需要能夠存取這些 URL。

以上是如何停止透過響應操縱來防止 OTP 繞過的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

JavaScript數據類型：瀏覽器和nodejs之間是否有區別？May 14, 2025 am 12:15 AM

JavaScript核心數據類型在瀏覽器和Node.js中一致，但處理方式和額外類型有所不同。 1)全局對像在瀏覽器中為window，在Node.js中為global。 2)Node.js獨有Buffer對象，用於處理二進制數據。 3)性能和時間處理在兩者間也有差異，需根據環境調整代碼。

JavaScript評論：使用//和 / * * / * / * /May 13, 2025 pm 03:49 PM

JavaScriptusestwotypesofcomments:single-line(//)andmulti-line(//).1)Use//forquicknotesorsingle-lineexplanations.2)Use//forlongerexplanationsorcommentingoutblocksofcode.Commentsshouldexplainthe'why',notthe'what',andbeplacedabovetherelevantcodeforclari

Python vs. JavaScript：開發人員的比較分析May 09, 2025 am 12:22 AM

Python和JavaScript的主要區別在於類型系統和應用場景。 1.Python使用動態類型，適合科學計算和數據分析。 2.JavaScript採用弱類型，廣泛用於前端和全棧開發。兩者在異步編程和性能優化上各有優勢，選擇時應根據項目需求決定。

Python vs. JavaScript：選擇合適的工具May 08, 2025 am 12:10 AM

選擇Python還是JavaScript取決於項目類型：1)數據科學和自動化任務選擇Python；2)前端和全棧開發選擇JavaScript。 Python因其在數據處理和自動化方面的強大庫而備受青睞，而JavaScript則因其在網頁交互和全棧開發中的優勢而不可或缺。

Python和JavaScript：了解每個的優勢May 06, 2025 am 12:15 AM

Python和JavaScript各有優勢，選擇取決於項目需求和個人偏好。 1.Python易學，語法簡潔，適用於數據科學和後端開發，但執行速度較慢。 2.JavaScript在前端開發中無處不在，異步編程能力強，Node.js使其適用於全棧開發，但語法可能複雜且易出錯。

JavaScript的核心：它是在C還是C上構建的？May 05, 2025 am 12:07 AM

javascriptisnotbuiltoncorc; sanInterpretedlanguagethatrunsonenginesoftenwritteninc.1）JavascriptwasdesignedAsignedAsalightWeight，drackendedlanguageforwebbrowsers.2）Enginesevolvedfromsimpleterterpretpretpretpretpreterterpretpretpretpretpretpretpretpretpretcompilerers，典型地，替代品。

JavaScript應用程序：從前端到後端May 04, 2025 am 12:12 AM

JavaScript可用於前端和後端開發。前端通過DOM操作增強用戶體驗，後端通過Node.js處理服務器任務。 1.前端示例：改變網頁文本內容。 2.後端示例：創建Node.js服務器。

Python vs. JavaScript：您應該學到哪種語言？May 03, 2025 am 12:10 AM

選擇Python還是JavaScript應基於職業發展、學習曲線和生態系統：1)職業發展：Python適合數據科學和後端開發，JavaScript適合前端和全棧開發。 2)學習曲線：Python語法簡潔，適合初學者；JavaScript語法靈活。 3)生態系統：Python有豐富的科學計算庫，JavaScript有強大的前端框架。

See all articles