D
Стандартное решение от школоты- SSL pinning, а сертик волтом выдавать
Size: a a a
2021 December 15
RB
Неа, не весь запрос, несколько избранных заголовков по факту в подписи. Но я не знаю почему так, другие люди делали.
D
Чем нестандартнее реализован ssl pinning тем сложнее аппку расковыривать. Но волшебной таблетки, как известно, нет
AG
Шадоу баны как на реддите выдавайте
SA
ну началось. перебор запиненных заголовков как раз к такому и приводит. вот и вычислили, какие нужны
SA
Попробуйте так: генерируйте на клиенте таймстемп с округлением до десяти минут в какую-нибудь сторону. пишите его в заголовок. сгенерируйте случайное значение еще у одного заголовка. затем конкатенируйте таймстемп и значение этого заголовка с телом запроса и считайте HMAC (см про nonce: https://crypto.stackexchange.com/a/17940)
Так как у вас там задействуется таймстемп, то вы еще можете сразу отсекать старые запросы, и обходить replay-атаки
Так как у вас там задействуется таймстемп, то вы еще можете сразу отсекать старые запросы, и обходить replay-атаки
SA
в HMAC лучше и тело засовывать (если тело большое, то берите несколько килобайт)
БС
Ээээ а ты уверен что они так не делают?
RB
я уверен 😆
RB
спасибо
БС
Блииииин. Я уж думал, что все научились запросы подписывать ...
RB
больно ты хорошего мнения о людях
БС
Считал что у вас проблема в том что секретный токен из приложения как то вытаскивают, а вы от ппимитивных атак не защищаетесь
БС
Ну используйте jwt. Там все проблемы решены. Не то чтобы он мне нравится, но как минимум есть таймстампы и различные варианты подписи.
SA
Я о том и говорю: чаще всего все эти мобильные АПИ и любят потому, что там секьюрности особо нет. либо токены летают в открытом виде, либо фиксируем хедеры каким-то перебором и вперед. разные приколы с редиректами и куками обычно уже позволяют отсечь почти всех ботописателей, потому что у них либо нет квалификации, либо времени разбираться с каждым конкретным случаем
SA
JWT - это скорее про токен, в который ничего не подпишешь + который помрет со временем. но в спецификации есть JOSE, который про энкришн и чисто подписи. тут нужно подписывать именно запросы, а не содержимое токена. в общем, да, имеет смысл копать в ту сторону. там набор вполне приличных спек, JWT лишь одна из них
VR
requestly позволяет менять запросы на лету по установленным фильтрам