这篇博文解释了如何有效防止 OTP(一次性密码)绕过攻击,重点关注 Node.js 和 React.js,但也适用于其他技术。 它详细介绍了保护 OTP 实施的技术和最佳实践。
了解 OTP 绕过攻击
OTP 绕过利用应用程序漏洞在没有有效 OTP 的情况下获得未经授权的访问。 攻击者可能会使用无效或过期的 OTP,或操纵 API 响应(通常使用 Burp Suite 等工具)来规避 OTP 验证。 常见的攻击包括拦截合法用户的有效响应并将其重新用于未经授权的访问。
防止响应操纵
仅仅加密 API 响应是不够的。虽然加密(使用 AES 或 RSA)可以保护传输中的数据,但所有用户的相同响应会产生漏洞。 即使使用加密,如果成功/失败标准仅基于 HTTP 状态代码或一致的成功消息(“OTP 验证成功”),攻击者仍然可以通过重放捕获的成功响应来绕过 OTP 验证。
强大的解决方案:唯一的响应 ID
该解决方案涉及为每个请求生成唯一的每用户标识符。这可以防止响应重放攻击。 概述的方法避免使用数据库:
客户端实现(React.js 示例):
rsid)。 您可以使用任何合适的随机 ID 生成方法。rsid。rsid发送到服务器。rsid 与请求标头中发送的 <code class="language-javascript">const OnSubmit = async () => {
let data = await AesEncrypt(form);
let verifyobj = { "encdata": data };
let getid = await makeid(7);
let config = { headers: { "rsid": getid } };
let ApiCallverify = await axios.post("http://localhost:4000/api/verifyotp", verifyobj, config);
let decryptedData = await Aesdecrypt(ApiCallverify.data.dataenc);
if (ApiCallverify && ApiCallverify.data.dataenc && ApiCallverify.status === 200) {
if (decryptedData.rsid === getid) {
alert(decryptedData.message);
} else {
alert("Invalid User");
}
} else {
alert(decryptedData.message);
}
};</code>服务器端实现(Node.js 示例):
rsid 标头是否存在。rsid。<code class="language-javascript">const OnSubmit = async () => {
let data = await AesEncrypt(form);
let verifyobj = { "encdata": data };
let getid = await makeid(7);
let config = { headers: { "rsid": getid } };
let ApiCallverify = await axios.post("http://localhost:4000/api/verifyotp", verifyobj, config);
let decryptedData = await Aesdecrypt(ApiCallverify.data.dataenc);
if (ApiCallverify && ApiCallverify.data.dataenc && ApiCallverify.status === 200) {
if (decryptedData.rsid === getid) {
alert(decryptedData.message);
} else {
alert("Invalid User");
}
} else {
alert(decryptedData.message);
}
};</code>展示的有效性: 该博客文章包含显示成功登录和使用 Burp Suite 拦截和修改响应的失败尝试的屏幕截图。独特的rsid可以防止成功的重放攻击。
图像保持在原来的位置。 请注意,图像 URL 会被保留。 为了正确显示它们,系统需要能够访问这些 URL。
以上是如何停止通过响应操纵来防止 OTP 绕过的详细内容。更多信息请关注PHP中文网其他相关文章!
