自定义认证token防篡改

黑粉

　
:'(:'(:'(爱快官方大大， 单位被上级责令整改，发现大量不安全的网络访问，追查行为日志的时候，发现提交的手机号被篡改过，根本查不到人。


需求场景：
　　单位开发了一款微信小程序， 获取微信绑定的手机号，手机号设置到user_id参数，通过自定义放行认证上网。
　　自定义认证放行链接，现在是必须由本机发起，不能由服务器协助发起，导致客户机可以通过抓包手段，获取认证放行链接，然后把user_id、timeout改了后，客户机再次发起认证放行链接，导致行为记录的认证数据有误。

　
需求建议：
　　1、token计算里面加入一项 user_id 用户名 ，跟mac一样，有值就参与运算，这样可以防止user_id被篡改
　　2、可以由其他客户端代通过认证，比如由本地服务器统一使用放行链接认证，防止参数被客户端抓包修改

　
认证效果：


　
行为记录：




　

wyf97

不得不说，这是我见过的最NT的设计。
真的，如果不打算自定义认证，可以不做，没必要恶心我们。

1、明明应该是服务端请求，但我们测试发现，填了其他设备的ip和mac后，竟然放行了服务端自己？文档上写的很清楚：“第三方认证服务器验证成功以后，调用“放行接口”放行客户”，明摆着意思是服务端做请求去放行其他的IP，我就好奇了，爱快开发语文是体育老师教的吗？所以最后就变成，客户端去请求。
2、客户端也就算了，还不对跨域做处理，请问爱快的开发们是喜欢认证完看到一串JSON吗？
3、客户端请求，还不对关键信息做加密签名，用户名随意篡改，而且不只是自定义认证，爱快全线的认证都他妈可以直接通过请求URL绕过，相当相当离谱。
4、既然IP、MAC填了和不填一样，你弄这两个字段进去干什么？


好的，针对离谱的爱快开发们，我只能负负得正，以毒攻毒，兄弟你这个问题的解决方法非常简单，
他加密时候的user_ip 和 mac根本就用不到，于是你直接 user_ip = 要放行的用户名，然后做签名就可以了。

老子开发15年头一回见这么离谱的东西，真醉了

zhou97612

你好，您这个问题我没接触过，您可以再详细描述一下么？

chengnan001

没看太明白，爱快把云安全开开，诶一网站就拦截了

黑粉

zhou97612 发表于 2021-8-31 11:03
你好，您这个问题我没接触过，您可以再详细描述一下么？

简单讲自定义认证的user_id可以被篡改

黑粉

chengnan001 发表于 2021-8-31 11:17
没看太明白，爱快把云安全开开，诶一网站就拦截了

不是网站拦截的问题，是访问不安全的网站， 行为记录设备不能查到真实有效的信息， 因为认证的时候user_id被抓包篡改了。

黑粉

zhou97612 发表于 2021-8-31 11:03
你好，您这个问题我没接触过，您可以再详细描述一下么？

爱快大大，置顶的哥们讲得都是你们的认证问题，太不安全了。 麻烦你们整改整改呀，直接可以篡改认证:'(

爱快研发03

楼主你的微信小程序认证可以使用，自定义认证
然后生成你自己随机的appkey。
小程序调用的时候 token会做MD5校验，在配置页面的帮助能找到使用方法。
URL传递参数的时候 不要把key暴露出来，避免你的key被人知晓。

帮助链接： https://www.ikuai8.com/index.php ... e&id=774&Itemid=607找到 3.3 token计算 ，按这个方式去使用就可以了。

黑粉

爱快研发03 发表于 2022-4-12 16:14
楼主你的微信小程序认证可以使用，自定义认证
然后生成你自己随机的appkey。
小程序调用的时候 token会做MD ...

谢谢回复。  这个小程序认证的问题我没有再测试了，用了个简单认证先过了。   
现在这有个特别影响我使用的问题爱快云设置免认证MAC时，局域网所有TCP都会中断

黑粉

爱快研发03 发表于 2022-4-12 16:14
楼主你的微信小程序认证可以使用，自定义认证
然后生成你自己随机的appkey。
小程序调用的时候 token会做MD ...

每天00:01，局域网所有的TCP都会中断，包括所有VLAN，无一幸免。服务器挂的TCP应用，没有自动恢复TCP连接，每天都需要手动重启。:'(:'(