2
假設我們有一個WCF Web服務。其鏈接如下;如何確保服務的循環以找出其api密鑰
http://www.example.com/service/?api=62383581
62383581這裏是API密鑰。我們如何確保服務的循環以找出其API密鑰?
A
回答
0
我想檢查一下主叫方的IP地址,並且防止同一個IP地址每小時發出超過n個呼叫將毫無意義,因爲攻擊者會使用欺騙手段來拋棄這種努力。
我能想到的唯一方法是使用可檢測此類攻擊的強大可配置防火牆或Winsnort等入侵防禦系統(IPS)。另請參見http://www.winsnort.com/index.php?module=News&func=display&sid=41
+0
我認爲第一個也是如此。你是對的。但不知道如何處理第一個第二選項。 – tugberk
0
3
我認爲討論應該是「如何讓它變得困難」而不是阻止它,因爲如果你打算將你的服務暴露給公衆,你很容易受到攻擊。
的可能性,以使其難以可能是:
,如果你正在爲一個緊密的客戶羣訪問您的服務的話,你可以在你的服務器,以防止任何其他服務的調用上應用IP限制,這將阻止來自客戶端腳本(例如JavaScript)的任何呼叫,並且將打開IP欺騙
您也可以在您的服務中放置IP限制。在Message Inspector中,您可以驗證IP,如果它不在您的範圍內,則拋出異常以防止進一步訪問。
與包含特殊字符使用字母數字API密鑰,使之非常複雜的,並通過(強力)難以循環
你可以給你的客戶(我可以考慮爲您的方案的最佳配合)一個公鑰(對每個客戶端都不相同)要求他們在關鍵字後附加一些標識符,例如API & CustomerID和你的密鑰來加密它,因爲在服務器端,您必須爲特定的客戶端,反之亦然私鑰..(這包含加密解密的開銷)
,如果你有man in middle那麼這可以妥協以上。 這些都是爲了讓事情變得困難,並且可能需要重新思考,具體取決於您的具體情況。
2
使用GUID而不是Int來使其更難以強制它。
相關問題
- 1. Web服務API密鑰和Ajax - 保護密鑰
- 2. SOAP Web服務API密鑰
- 3. 確保API密鑰的安全
- 4. 如何獲得API密鑰以訪問服務預授權?
- 5. Google地圖如何保護其API密鑰?如何做出類似的東西?
- 6. 循環贏得7註冊表以找到密鑰的值
- 7. MurmurHash - 它如何通過密鑰循環?
- 8. 保護用戶的雲服務API密鑰安全
- 9. 用API密鑰開發服務(起點)
- 10. REST Web服務和API密鑰
- 11. 如何保護從Android設備到亞馬遜服務的API調用密鑰
- 12. 哪裏可以找到YouTube API密鑰?
- 13. 哪裏可以找到espn api密鑰?
- 14. 如何確保API密鑰在遠程訪問時被盜取
- 15. SQL Server 2012 - 循環密鑰
- 16. 根據API密鑰向其他服務器發送請求
- 17. 如何確保圖像以正確的順序循環加載
- 18. API密鑰保留爲空
- 19. 保存在gradle.properties API密鑰
- 20. Windows服務循環 - 如何?
- 21. 爲什麼服務需要應用程序ID,API密鑰和API密鑰?
- 22. API密鑰未找到
- 23. 從Github服務器導出ssh密鑰
- 24. 如何在WCF數據服務中實現API密鑰?
- 25. JQuery $ .ajax.post到具有祕密API密鑰的服務
- 26. GCM API密鑰應該保密嗎?
- 27. 數組循環保持一定數量的密鑰,並根據元素使用關聯密鑰替換密鑰
- 28. Firebase雲消息服務器密鑰的保密性
- 29. 如何傳入API密鑰?
- 30. 如何通過API密鑰
從哪裏獲得API密鑰? – abatishchev
@abatishchev在這裏有重要嗎? – tugberk
你的問題很缺乏。您不會描述攻擊者是誰,可能泄露api密鑰的程序在哪裏運行,誰可以訪問該服務,驗證api密鑰,首先找到該API密鑰的目的是什麼,您的意思是循環,... – CodesInChaos