Replay attacks và spoofing Api nếu bạn là một backend thì bạn xử thế nào?

#security #api #token #error #nodejs #video###hxmjd4mn4by

Nội dung bài viết

Video học lập trình mỗi ngày

Nói qua một chút trước khi đi vào hai khái niệm Replay attack là gì?Spoofing attack thì chúng ta cần hiểu các hệ thống bây giờ đều phân tách các nghiệp vụ clientbackend. Sợi dây liên kết giữa chúng đó chính là api.

Riêng về api thì những ai đã làm lập trình thì ít nhất là phải biết khái niệm về nó, nhưng để bảo mật rest api thì có đến 95% các lập trình viên chưa hiểu hoàn toàn và thực hành được. Nếu như bạn rơi vào trường hợp 95% thì bài viết này sẽ là của bạn.

Video 2 cách ngăn chặn replay attacks API đối với HACKERS của kỹ sư cấp cao API

Nhưng trước tiên chúng ta hay đi phần định nghĩa của hai khái niệm thường sẽ được phỏng vấn khi bạn apply vào vị trí backend.

Replay attacks and spoofing

Replay attack là gì?

Replay attack là tấn công api theo kiểu gửi lại nguyên vẹn endpoint đã thực hiện trước đó bao gồm hacker và chính người dùng.

Trường hợp Replay attack api xảy ra đa số là những developers khác sẽ sử dụng tool console trong browser có chức năng replay xhr. Điều đó có nghĩa là hacker lắng nghe trộm những requests của user, và có thể dùng chính đó để chạy lại api cùng với các parameterssign.

Spoofing attack là gì?

Spoofing attack là kiểu tấn công giả mạo chữ ký hay còn gọi là sign. Khiến hệ thống lầm tưởng là chính chủ gửi request.

Nếu bạn đã nghe câu chuyện Alibaba và 40 tên cướp. Thì bạn đã biết Alibaba đã nghe lén chữ ký chính là vừng ơi mở ra. Mọi chuyện sau thì các bạn cũng đã rõ. Để rõ hơn thì Spoofing api có nghĩa là hacker lấy được những tham số trên request và sau đó sửa đổi để đánh lừa dân backend.

Như vậy chúng ta những người mang trọng trách build backend services thì sẽ có cách hay biện pháp nào phòng chống. Tiếp tục.

Các giải pháp chống lại Replay attack and spoofing

Để chống lại hai cách tấn công trên thì thường thì các devs sẽ sử dụng timestampnonce. Vậy Nonce là gì? Có vai trò gì trong chống Replay attack apitimestamp có quan trọng gì trong api thì bạn có thể tham khảo cách mà tôi đã trình bày trong video 2 cách ngăn chặn replay attacks API đối với HACKERS của kỹ sư cấp cao API

Thân ái và quyết thắng!

Có thể bạn đã bị missing

DMCA.com Protection Status

© 2024 Anonystick | Made by Anonystick