大佬们,如何防止 api 被别人恶意调用,目前使用了混淆+wasm+rsa&aes 都防不住

19 天前
 tmtstudio

太难缠了,目测是把 wasm 直接拿去加解密了

3151 次点击
所在节点    程序员
23 条回复
tmtstudio
19 天前
我接口参数和反参都这样了,真是没辙了
param: CBvPwEcAyHmnRQ2VRJ+cTbrPfJothei4nkMFlvqGMZl/xduTNg9VVhWUyF/CrMCnld8OeZZpHaSxp/k4YH/DZvTTge4aCmK7sxR8qPoP+ZHjDaakoC3MiIhkzWbBWwPx4JbKCtc3E/8AMD52IU6bZjBM29zrfS2pawTmSHR+oUY9Jnlucv1mMOC1+/1BWwuSLFQ4bkyPoRsrflJUD9SfQzascADp9bvDAJ/Eh8fvVgT4FSkzqtyQVemopDrG9ntt
code: H2l0TqAcrx+DIc0CW4eGWPSPZRrUHvlWaOaOXjpGQ3Tn79gh6PcwFW3J5KaZUcjOAMpbEgWS5D9i/wtqcNdI6iz0hX0Vmz62wVuxVJUa3ltXOMJk2RMvtoYOVb8Ne+IuSOOr3tMeB4JxmiRB4MNwdUnIXtHWc6z0OxVZ6FuPzrQ=

{"status":1,"info":"\u6210\u529f","data":{"data":"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","code":"Z2SLbR+9Vz8noEFVL\/eD+XFccTgTJo6Rv53dPiNE0rSweOvoG9+fxZUdMW0dlF63Bche7cAaGPbko1WHel1s8eEBmjTPB1CHCNAep8mHD1wO2\/k\/FpPNhh2gVhKEvZqIqDhVjsT2lNk704RoKBXNsnf4zlxC1O8HoE5wmF45e\/8="}}
zmaplex
19 天前
服务端限流 + recaptcha 认证
jsonparse
19 天前
防重放+限流
tool2dx
19 天前
加参数签名算法,把签名算法放到服务器 RPC 上来计算,按照一定的调用比例,识别恶意客户端 ID 。

算法不放在本地,这总没办法了吧。
RoyLaw
19 天前
限制访问 IP
Ayanokouji
19 天前
上个 apisix 之类的网关,挑一些插件开启
LeeReamond
19 天前
不太了解灰产解 wasm 怎么个说法,我感觉 wasm 解 AST 还挺麻烦的,但是也许你硬编码了什么字符串密钥或者接口之类的很好搞出来。

@tool2dx http 无状态,灰产搞客户端那不是要开多少开多少,每次都是新 ID 。。。
fruitmonster
19 天前
可以借鉴一下,或许会有点启发

https://zu1k.com/posts/thinking/deception-tactics-in-deepl-api-design/
coderxy
19 天前
有的是改内存的, 你再怎么加密它正常用你的客户端去请求你也防不了。
zhenjiachen
19 天前
wasm 不需要反编译,直接使用运行时就可以跑起来了,然后把参数放到接口里面调用就行了
povsister
19 天前
专业风控团队都是风险因子收集+模式识别,靠行为模式来打击黑产。

你用的这些方案都只能提高门槛,对于黑产本身来说不算啥。你当下最简单的方式就是,接口调用完之后保留一些供后续审计的数据,做不到在线实时识别的话事后打击也可以。
tmtstudio
19 天前
@fruitmonster #8 妙啊,这可以用在 wasm 里鉴权
tmtstudio
19 天前
@povsister #11 我这项目还吸引不到黑产,就是一些技术小鬼,现在有了 gpt 谁都能搞一下
hsuehly
19 天前
我研究过一点,可以交流一下
proxytoworld
19 天前
核心是你即使在 wasm 加解密你还是得在 js 端使用 wasm export 出的 abi ,其实目前 wasm 反编译不是很成熟,大概率是把你 js 反混淆了

建议防重放+签名算法,配合服务端限流+环境检查之类的
Lockeysama
19 天前
关键字:WAF 、Bot Management
iorilu
19 天前
说明你的站很牛啊, 有人盯上了, 肯定 api 是有价值得
glcolof
18 天前
使用 https 协议,在 api 调用参数里面增加“用户名-密码”或者访问 token 字段,如果服务是收费的,每次调用都会扣费;或者免费服务限制调用次数调用频率。
总不会有人故意泄露自己的用户名-密码或者 token 吧?
jackOff
18 天前
额,你不会是央视频吧?你可以试试找法务解决
EndlessMemory
18 天前
新增一个接口参数,没有带新接口参数的全部返回假数据

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1069086

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX