如果网站用了api接口,那么我网站的数据库是不是会被其他人调用。
看看那个api是什么性质。
--------------------------------
如果只是个天气预报的api或是别的什么,根本没事。
如果是重要的数据操作,那你就惨了。
--------------------------------
如果是企业门户,你可别用开源的那些东西,丢了饭碗不说,被同行耻笑就菜了!既是用开源,也别完全拿来吧!这问题LZ下次就别问了,
谁也没听说微软把系统代码公布于众。
api被黑客入侵不知道是真是假
关于API是否被黑,黑客说了不算,你我说了不算,唯有API说了算,简单的说如果API感觉可以收获了,那就一定会发生这样的事情,如果不是被黑客攻击,那也会发生其他的事情,总而言之,客户的钱最后被合法化的没有了,就是API给出的答案。这样说,明白么?
如何防止登录API 被暴力攻击
需要限制一个账号或IP登录次数限制
第一,如果是开发API建议加入【访问频率】设置。例如,如果设置频率限制为每分钟1000次(可以是某个端口,每个ip等等),如果一分钟内超过这个限制,那么服务器就会返回 429: Too Many Attempts.响应。
第二,关于伪造IP地址的防范。你可以发送请求到对方ip地址,伪造的ip地址没有任何response
无论网站,还是App目前基本都是基于api接口模式的开发,那么api的安全就尤为重要了。目前攻击最常见的就是“短信轰炸机”,由于短信接口验证是App,网站检验用户手机号最真实的途径,使用短信验证码在提供便利的同时,也成了呗恶意攻击的对象,那么如何才能防止被恶意调用呢?
1.图形验证码:
将图形校验码和手机验证码进行绑定,在用户输入手机号码以后,需要输入图形校验码成功后才可以触发短信验证,这样能比较有效的防止恶意攻击。目前大部分应用都是采用这种方式。
2.限定请求次数:
在服务器端限定同IP,同设备,同时间范围内的接口请求次数。比如同一号码重复发送的时间间隔,一般为60或120秒;设置每个IP每天最大的发送量;设置单个手机号每天的最大发送量。
3.流程条件限定:
将手机短信验证放在最后进行,比如需要用户必须注册后,或者用不必须填写了某些条件才能进行短信验证。
4.归属地是否一致:
服务器端检查用户的IP所在地与手机号归属地是否匹配,如果不匹配则提示用户手动操作等。
5.服务器接口验证:
当用户登录成功后,返回一个由Token签名生成的秘钥信息(Token可使用base64编码和md5加密,可以放在请求的Header中),然后对每次后续请求进行Token的封装生成,服务器端在验证是否一致来判断请求是否通过。
6.采用https:
线上的api接口开启https访问,这样做的话别人抓包的难度会提高很多,而且https需要秘钥交换,可以在一定程度上鉴别是否伪造IP。
7.服务器端代理请求:
针对于网站,这也是解决跨域的方案之一,采用服务器代理可以有效的防止接口真实地址的暴露。
8.其它:
当接口存在大量肉鸡攻击的时候,攻击者也同样容易暴露意图,我们可以通过系统分析算法,让攻击者获取不到有效数据,提高攻击成本。
总结:
安全问题一直都是与攻击者之间智斗勇的问题,没有一劳永逸的解决方法,只有不断交锋,不断成长....
api侵入什么意思
API(Application Programming Interface,应用程序编程接口)是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件的以访问一组例程的能力,而又无需访问源码,或理解内部工作机制的细节。
API侵入是任何框架都很难避免的问题,而被侵入框架API的程序也很容易被该框架绑定,很难脱离框架运行环境
api外汇真的被黑客入侵
是真的.因为只有这样才能名正言顺的收网.剩下的就只是收尾工作和心理游戏了.