业务安全相关安全产品的反思
从 2019 年开始主导一些 Qunar 业务安全相关的基础安全产品,如设备指纹、环
境检测以及接口防护等,对于验证码也有系统维护和相关破解经验。其中也有许多自己觉得
还算可以(能够满足业务)的设计,当然也有一些实践后发现不足的设计。写这篇文章的目
的是想要把其中的一些思考和经验教训和大家分享。
目录背景产品设计解决什么问题?举个栗子问题分析接口调用服务化过程问题 1:如何增
加参数的分析难度?如何增加参数的伪造难度?问题 2:如何增加构造请求的难度?解决方
案解决以上问题,有如下三种方案设计点一:防止请求参数伪造设计点二:防止脱离容器设
计点三:防止请求重放整体防御流程问题反思
背景
从 2019 年开始主导一些 Qunar 业务安全相关的基础安全产品,如设备指纹、环境
检测以及接口防护等,对于验证码也有系统维护和相关破解经验。其中也有许多自己觉得还
算可以(能够满足业务)的设计,当然也有一些实践后发现不足的设计。写这篇文章的目的
是想要把其中的一些思考和经验教训和大家分享。
产品设计
这篇文章我想以接口防护作为案例,来讲述设计安全产品时所需要的思考的要点。
解决什么问题?
举个栗子
·
ip 查询请求是从 ip138.com 网站的查询首页中发送出去的。通过 GET 请求拼接上查询参
数
?ip=123.152.159.88&action=2