応答操作による OTP バイパスの防止を停止する方法-jsチュートリアル-php.cn

ホームページ

ウェブフロントエンド

jsチュートリアル

応答操作による OTP バイパスの防止を停止する方法

Linda Hamilton

Jan 22, 2025 pm 10:45 PM

このブログ投稿では、OTP (ワンタイムパスワード) バイパス攻撃を効果的に防ぐ方法について説明します。Node.js と React.js に焦点を当てていますが、他のテクノロジーにも適用できます。 OTP の実装を保護するための技術とベストプラクティスについて詳しく説明します。

OTP バイパス攻撃について

OTP バイパスは、アプリケーションの脆弱性を悪用して、有効な OTP なしで不正アクセスを取得します。攻撃者は、OTP 検証を回避するために、無効または期限切れの OTP を使用したり、API 応答を操作したり (Burp Suite などのツールを使用することが多い) する可能性があります。一般的な攻撃には、正規のユーザーからの有効な応答を傍受し、それを不正アクセスに再利用することが含まれます。

応答操作の防止

API レスポンスを暗号化するだけでは十分ではありません。暗号化 (AES または RSA を使用) は転送中のデータを保護しますが、すべてのユーザーに対して同じ応答を行うと脆弱性が生じます。暗号化を使用している場合でも、成功/失敗の基準が HTTP ステータスコードまたは一貫した成功メッセージ (「OTP が正常に検証されました」) のみに基づいている場合、攻撃者はキャプチャされた成功応答を再生することで OTP 検証をバイパスできます。

堅牢なソリューション: 固有の応答 ID

この解決策には、リクエストごとにユーザーごとに一意の識別子を生成することが含まれます。これにより、応答リプレイ攻撃が防止されます。概要を説明した方法では、データベースの使用を回避します。

クライアント側の実装 (React.js の例):

ペイロードの暗号化: サーバーに送信する前に OTP データを暗号化します。
一意の ID の生成: 一意の 7 文字の ID (UID、rsid) を作成します。適切なランダム ID 生成方法を使用できます。
ヘッダーで UID を送信: リクエストヘッダーに rsid を含めます。
API 呼び出し: 暗号化されたデータと rsid をサーバーに送信します。
応答の検証: サーバーの応答を復号化します。
UID マッチング: 重要なのは、応答で受信した rsid と要求ヘッダーで送信された

const OnSubmit = async () => {
  let data = await AesEncrypt(form);
  let verifyobj = { "encdata": data };
  let getid = await makeid(7);
  let config = { headers: { "rsid": getid } };
  let ApiCallverify = await axios.post("http://localhost:4000/api/verifyotp", verifyobj, config);
  let decryptedData = await Aesdecrypt(ApiCallverify.data.dataenc);
  if (ApiCallverify && ApiCallverify.data.dataenc && ApiCallverify.status === 200) {
    if (decryptedData.rsid === getid) {
      alert(decryptedData.message);
    } else {
      alert("Invalid User");
    }
  } else {
    alert(decryptedData.message);
  }
};

ログイン後にコピー

サーバー側の実装 (Node.js の例):

<🎜>

リクエストの検証: リクエストの本文 (暗号化されたデータ) と rsid ヘッダーの存在を確認します。
復号化: リクエスト本文を復号化します。
OTP 検証: (データベースまたはその他の安全なストレージを使用して) ユーザーの情報と照合して OTP を検証します。
レスポンスの生成: 検証が成功した場合、レスポンスを暗号化し、リクエストヘッダーの元の rsid を含めます。
応答の送信: 暗号化された応答を送信します。

const OnSubmit = async () => {
  let data = await AesEncrypt(form);
  let verifyobj = { "encdata": data };
  let getid = await makeid(7);
  let config = { headers: { "rsid": getid } };
  let ApiCallverify = await axios.post("http://localhost:4000/api/verifyotp", verifyobj, config);
  let decryptedData = await Aesdecrypt(ApiCallverify.data.dataenc);
  if (ApiCallverify && ApiCallverify.data.dataenc && ApiCallverify.status === 200) {
    if (decryptedData.rsid === getid) {
      alert(decryptedData.message);
    } else {
      alert("Invalid User");
    }
  } else {
    alert(decryptedData.message);
  }
};

ログイン後にコピー

実証された効果: ブログ投稿には、Burp Suite を使用して応答を傍受し、変更することによるログインの成功と試行の失敗を示すスクリーンショットが含まれています。独自の rsid により、リプレイ攻撃の成功を防ぎます。

How to stop preventing OTP Bypass through Response Manipulation

画像は元の位置に残ります。画像の URL は保持されることに注意してください。これらを正しく表示するには、システムがそれらの URL にアクセスできる必要があります。

以上が応答操作による OTP バイパスの防止を停止する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

脱衣画像を無料で

Clothoff.io

AI衣類リムーバー

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

ホットツール

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

神レベルのコード編集ソフト（SublimeText3）

ホットトピック

Java チュートリアル

1670

CakePHP チュートリアル

1428

Laravel チュートリアル

1329

PHP チュートリアル

1274

C# チュートリアル

1256

Related knowledge

Python vs. JavaScript：学習曲線と使いやすさ Apr 16, 2025 am 12:12 AM

Pythonは、スムーズな学習曲線と簡潔な構文を備えた初心者により適しています。 JavaScriptは、急な学習曲線と柔軟な構文を備えたフロントエンド開発に適しています。 1。Python構文は直感的で、データサイエンスやバックエンド開発に適しています。 2。JavaScriptは柔軟で、フロントエンドおよびサーバー側のプログラミングで広く使用されています。

C/CからJavaScriptへ：すべてがどのように機能するか Apr 14, 2025 am 12:05 AM

C/CからJavaScriptへのシフトには、動的なタイピング、ゴミ収集、非同期プログラミングへの適応が必要です。 1）C/Cは、手動メモリ管理を必要とする静的に型付けられた言語であり、JavaScriptは動的に型付けされ、ごみ収集が自動的に処理されます。 2）C/Cはマシンコードにコンパイルする必要がありますが、JavaScriptは解釈言語です。 3）JavaScriptは、閉鎖、プロトタイプチェーン、約束などの概念を導入します。これにより、柔軟性と非同期プログラミング機能が向上します。

JavaScriptとWeb：コア機能とユースケース Apr 18, 2025 am 12:19 AM

Web開発におけるJavaScriptの主な用途には、クライアントの相互作用、フォーム検証、非同期通信が含まれます。 1）DOM操作による動的なコンテンツの更新とユーザーインタラクション。 2）ユーザーエクスペリエンスを改善するためにデータを提出する前に、クライアントの検証が実行されます。 3）サーバーとのリフレッシュレス通信は、AJAXテクノロジーを通じて達成されます。

JavaScript in Action：実際の例とプロジェクト Apr 19, 2025 am 12:13 AM

現実世界でのJavaScriptのアプリケーションには、フロントエンドとバックエンドの開発が含まれます。 1）DOM操作とイベント処理を含むTODOリストアプリケーションを構築して、フロントエンドアプリケーションを表示します。 2）node.jsを介してRestfulapiを構築し、バックエンドアプリケーションをデモンストレーションします。

JavaScriptエンジンの理解：実装の詳細 Apr 17, 2025 am 12:05 AM

JavaScriptエンジンが内部的にどのように機能するかを理解することは、開発者にとってより効率的なコードの作成とパフォーマンスのボトルネックと最適化戦略の理解に役立つためです。 1）エンジンのワークフローには、3つの段階が含まれます。解析、コンパイル、実行。 2）実行プロセス中、エンジンはインラインキャッシュや非表示クラスなどの動的最適化を実行します。 3）ベストプラクティスには、グローバル変数の避け、ループの最適化、constとletsの使用、閉鎖の過度の使用の回避が含まれます。

Python vs. JavaScript：コミュニティ、ライブラリ、リソース Apr 15, 2025 am 12:16 AM

PythonとJavaScriptには、コミュニティ、ライブラリ、リソースの観点から、独自の利点と短所があります。 1）Pythonコミュニティはフレンドリーで初心者に適していますが、フロントエンドの開発リソースはJavaScriptほど豊富ではありません。 2）Pythonはデータサイエンスおよび機械学習ライブラリで強力ですが、JavaScriptはフロントエンド開発ライブラリとフレームワークで優れています。 3）どちらも豊富な学習リソースを持っていますが、Pythonは公式文書から始めるのに適していますが、JavaScriptはMDNWebDocsにより優れています。選択は、プロジェクトのニーズと個人的な関心に基づいている必要があります。

Python vs. JavaScript：開発環境とツール Apr 26, 2025 am 12:09 AM

開発環境におけるPythonとJavaScriptの両方の選択が重要です。 1）Pythonの開発環境には、Pycharm、Jupyternotebook、Anacondaが含まれます。これらは、データサイエンスと迅速なプロトタイピングに適しています。 2）JavaScriptの開発環境には、フロントエンドおよびバックエンド開発に適したnode.js、vscode、およびwebpackが含まれます。プロジェクトのニーズに応じて適切なツールを選択すると、開発効率とプロジェクトの成功率が向上する可能性があります。

JavaScript通訳者とコンパイラにおけるC/Cの役割 Apr 20, 2025 am 12:01 AM

CとCは、主に通訳者とJITコンパイラを実装するために使用されるJavaScriptエンジンで重要な役割を果たします。 1）cは、JavaScriptソースコードを解析し、抽象的な構文ツリーを生成するために使用されます。 2）Cは、Bytecodeの生成と実行を担当します。 3）Cは、JITコンパイラを実装し、実行時にホットスポットコードを最適化およびコンパイルし、JavaScriptの実行効率を大幅に改善します。

See all articles