怎样保证对外作为公共接口的webapi的安全性

发布网友发布时间：2022-04-22 05:38

共1个回答

热心网友时间：2022-04-27 10:36

现在很多网站都要用到api接口了吧~而且有些程序和网站通讯也必须用到接口。不过接口的最主要安全问题就是逻辑判断的问题比如最常见的就是支付接口，支付接口。举个例子，比如这是某支付的接口的判断处理这只是个简化版的~只提取了部分的漏洞，好吧orderID打成了orederid了。凑合着吧~然后写个html模拟post提交不过现在部分支付接口都修复了这个漏洞，改成了主动到服务器上查询支付状态~而不是被动等待服务器返回~但是仍然有一些支付公司没有修复这个漏洞，比如国外某机房的面板，而且这个面板还是很多人都用的收费面板~他的信用卡支付的地方就没有进行验证，如果有账单，选信用卡，用firebug之类的改一个别人的信用卡ID，就可以用别人的信用卡支付（强烈不推荐！！并bs此行为）还有一种漏洞就是程序与web进行通讯，上次在eyuyan.com上看到的~我一看他写的与web进行通讯验证的时候的接口，没有对sql注入做任何过滤~