01. Interfaz anti-cepillado
1. ¿Por qué querría alguien actualizar la interfaz?
Beneficio: los revendedores obtienen boletos en línea en 12306 y los revenden.
Atacar maliciosamente a los competidores: si la interfaz de SMS se solicita una vez, generará unos pocos centavos de tarifas del operador, lo que también es considerable si el nivel equivalente es alto.
Prueba de presión: use el banco apache para hacer la prueba de esfuerzo.
2. ¿Qué comportamiento se juzga como cepillado de la interfaz?
muchas veces
La frecuencia es frecuente, tal vez miles de veces por segundo.
Dificultad para identificar la identidad del usuario: el navegador o la IP pueden cambiarse en cualquier momento durante el proceso de deslizamiento
3. Cómo juzgar la granularidad del usuario
Según la página actual
Desventajas: No tiene ningún sentido, la identidad del usuario cambia tan pronto como se actualiza la página
Según sesión
Desventaja: cuando el usuario borre manualmente la cookie, fallará
segun ip
Ventajas: Alto costo de la falsificación
Desventajas: Es necesario considerar que las personas de una empresa y una comunidad generalmente comparten una ip, por lo que conviene relajar el límite de solicitudes para una sola ip
La información de IP se almacena en el encabezado de la solicitud y https encripta la solicitud en sí, lo que puede evitar que la información de IP se falsifique o altere. Por lo tanto, se recomienda que el servidor utilice transmisión https.
02. Cómo manejar solicitudes maliciosas
1. La lógica empresarial rechaza la participación del usuario
Por ejemplo, para restringir el inicio de sesión del usuario, el usuario debe cumplir ciertas condiciones (límite de tareas, límite de cantidad, límite de participación)
2. Restricciones en la distribución de recompensas
Hay un límite en la cantidad de recompensas emitidas por día, un límite en la cantidad total de recompensas emitidas por día, un límite en la cantidad de veces que un usuario puede participar en un día y un límite en la cantidad total que un usuario puede obtener por día
3. Límite de frecuencia IP
Tanto memcached como redis tienen soluciones maduras.
Tutorial de Memcached:
https://www.runoob.com/memcached/memcached-tutorial.html
4. Código de verificación y límite de SMS
La autenticidad del usuario se puede verificar solicitándole que ingrese un código de verificación o un código de verificación de SMS, pero también es necesario asegurarse de que la interfaz de SMS no se deslice.
Ventajas: puede identificar con precisión si la solicitud la envía una persona real o una máquina y, en segundo lugar, descarta a los usuarios reales.
Desventajas: No lo suficientemente humanizado, largo tiempo de operación del usuario, mala experiencia
5. Juicio de la autoridad del usuario
El análisis básico del comportamiento del usuario consiste en combinar la lógica comercial para hacer un juicio perfecto de los permisos del usuario en el nivel de implementación del código.
Restringir usuarios desde el nivel de código
6. Prevenir ataques de inyección XSS, CSRF, SQL
Este es un método común de prevención de seguridad de la interfaz WEB, XSS, CSRF, inyección SQL, filtrado y escape de parámetros, validación de formularios, etc.
7. Intervención humana
Los métodos anteriores deben usarse en combinación para mejorar la seguridad y la dificultad de craqueo. Existen métodos fáciles de craqueo cuando se usan solos. Además, la intervención manual también es muy importante. Es necesario observar los datos en segundo plano, encontrar datos anormales a tiempo y solucionar peligros ocultos.
Por último, me gustaría agradecer a todos los que han leído detenidamente mi artículo. La reciprocidad siempre es necesaria. Aunque no es algo muy valioso, si puede usarlo, puede llevárselo directamente: [Recopilado al final del artículo ]
[El siguiente es el diagrama de sistema de arquitectura de conocimiento de aprendizaje de ingeniero de prueba de software más completo + conjunto completo de materiales que compilé en 2023]
1. De la entrada al dominio de la programación en Python
2. Proyecto de automatización de interfaz de combate real.
3. Combate real del proyecto de automatización web
4. Combate real del proyecto de automatización de aplicaciones
5. Hoja de vida de los fabricantes de primer nivel
6. Probar y desarrollar el sistema DevOps
7. Herramientas de prueba automatizadas de uso común
Ocho, prueba de rendimiento JMeter
9. Resumen (pequeña sorpresa al final)
la vida es larga así que agregue aceite. Cada esfuerzo no será defraudado, mientras perseveres, habrá recompensas al final. Valora tu tiempo y persigue tus sueños. No olvides la intención original, sigue adelante. ¡Tu futuro está en tus manos!
La vida es corta, el tiempo es precioso, no podemos predecir lo que sucederá en el futuro, pero podemos captar el momento presente. Aprecia cada día y trabaja duro para hacerte más fuerte y mejor. Creencia firme, búsqueda persistente, ¡el éxito eventualmente te pertenecerá!
Solo desafiándote constantemente a ti mismo puedes superarte constantemente. Persista en perseguir sus sueños y avance con valentía, y descubrirá que el proceso de lucha es tan hermoso y valioso. ¡Cree en ti mismo, puedes hacerlo!