【问题标题】:How to avoid response maniputaion for OTP verification如何避免 OTP 验证的响应操作
【发布时间】:2021-08-26 08:36:55
【问题描述】:

我有 OTP 验证功能,前端(React JS)正在向后端(rails)发送请求,根据响应,我在前端将移动验证设置为真或假。

成功响应:

HTTP/1.1 200 OK

{"success":true}

无法处理的实体响应:

HTTP/1.1 422 Unprocessable Entity

{"success":false}

当用户获得无法处理的实体时,用户正在使用 Burp Suite 更改响应并将修改后的响应发送到前端

HTTP/1.1 200 OK

{"success":true}

前端具有设置仅在收到响应时验证移动设备的逻辑。

考虑在响应中添加 OTP 并在前端验证它,但用户也可以存根。

我怎样才能避免这种情况?

【问题讨论】:

  • 在客户端设置手机验证有什么不同?
  • @GaborLengyel 用户在没有互动的情况下使用其他手机号码

标签: ruby-on-rails reactjs security one-time-password


【解决方案1】:

您必须使用 TLS (HTTPS) 保护通道,因此第三方无法在您不知情的情况下更改数据。您可以实施的所有其他保护手段都与此相关。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2015-01-22
    • 1970-01-01
    • 1970-01-01
    • 2021-05-15
    • 2018-03-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多