API接口的安全性问题

wanghe513120

现在很多网站都要用到api接口了吧~而且有些程序和网站通讯也必须用到接口。
不过接口的最主要安全问题就是逻辑判断的问题
比如最常见的就是支付接口，支付接口。举个例子，比如这是某支付的接口的判断处理

这只是个简化版的~只提取了部分的漏洞，好吧orderID打成了orederid了。凑合着吧~
然后写个html模拟post提交

提交后

不过现在部分支付接口都修复了这个漏洞，改成了主动到服务器上查询支付状态~而不是被动等待服务器返回~
但是仍然有一些支付公司没有修复这个漏洞，比如国外某机房的面板，而且这个面板还是很多人都用的收费面板~他的信用卡支付的地方就没有进行验证，如果有账单，选信用卡，用firebug之类的改一个别人的信用卡ID，就可以用别人的信用卡支付（强烈不推荐！！并bs此行为）
还有一种漏洞就是程序与web进行通讯，上次在eyuyan.com上看到的~我一看他写的与web进行通讯验证的时候的接口，没有对sql注入做任何过滤~

crgjh

您提到的API安全风险非常典型，建议开发者遵循以下防护原则：1.支付系统应基于服务端状态校验，拒绝客户端传参信任；2.强制使用参数签名与HTTPS传输；3.所有输入需经白名单过滤，数据库操作必须参数化查询。安全设计需贯彻零信任原则，通过多重校验机制构建纵深防御体系。（50字）