iKuai爱快流控路由

标题: 自定义认证token防篡改 [打印本页]

作者: 黑粉 时间: 2021-8-31 02:17
标题: 自定义认证token防篡改
本帖最后由黑粉于 2021-8-31 02:19 编辑

　
:'(:'(:'(爱快官方大大，单位被上级责令整改，发现大量不安全的网络访问，追查行为日志的时候，发现提交的手机号被篡改过，根本查不到人。

需求场景：
　　单位开发了一款微信小程序，获取微信绑定的手机号，手机号设置到user_id参数，通过自定义放行认证上网。
　　自定义认证放行链接，现在是必须由本机发起，不能由服务器协助发起，导致客户机可以通过抓包手段，获取认证放行链接，然后把user_id、timeout改了后，客户机再次发起认证放行链接，导致行为记录的认证数据有误。

　
需求建议：
　　1、token计算里面加入一项 user_id 用户名，跟mac一样，有值就参与运算，这样可以防止user_id被篡改
　　2、可以由其他客户端代通过认证，比如由本地服务器统一使用放行链接认证，防止参数被客户端抓包修改

　
认证效果：
[attach]161185[/attach]

　
行为记录：
[attach]161184[/attach]

　

作者: zhou97612 时间: 2021-8-31 11:03
你好，您这个问题我没接触过，您可以再详细描述一下么？

作者: chengnan001 时间: 2021-8-31 11:17
没看太明白，爱快把云安全开开，诶一网站就拦截了

作者: 黑粉 时间: 2021-8-31 16:18

zhou97612 发表于 2021-8-31 11:03
你好，您这个问题我没接触过，您可以再详细描述一下么？

简单讲自定义认证的user_id可以被篡改

作者: 黑粉 时间: 2021-8-31 16:20

chengnan001 发表于 2021-8-31 11:17
没看太明白，爱快把云安全开开，诶一网站就拦截了

不是网站拦截的问题，是访问不安全的网站，行为记录设备不能查到真实有效的信息，因为认证的时候user_id被抓包篡改了。

作者: 黑粉 时间: 2022-4-12 11:11

zhou97612 发表于 2021-8-31 11:03
你好，您这个问题我没接触过，您可以再详细描述一下么？

爱快大大，置顶的哥们讲得都是你们的认证问题，太不安全了。麻烦你们整改整改呀，直接可以篡改认证:'(

作者: 爱快研发03 时间: 2022-4-12 16:14
楼主你的微信小程序认证可以使用，自定义认证
然后生成你自己随机的appkey。
小程序调用的时候 token会做MD5校验，在配置页面的帮助能找到使用方法。
URL传递参数的时候不要把key暴露出来，避免你的key被人知晓。

帮助链接： https://www.ikuai8.com/index.php ... e&id=774&Itemid=607找到 3.3 token计算，按这个方式去使用就可以了。

作者: 黑粉 时间: 2022-4-12 18:23

爱快研发03 发表于 2022-4-12 16:14
楼主你的微信小程序认证可以使用，自定义认证
然后生成你自己随机的appkey。
小程序调用的时候 token会做MD ...

谢谢回复。这个小程序认证的问题我没有再测试了，用了个简单认证先过了。
现在这有个特别影响我使用的问题爱快云设置免认证MAC时，局域网所有TCP都会中断

欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/)