检测用户是否修改url

最新推荐文章于 2021-06-03 07:36:39 发布
原创 最新推荐文章于 2021-06-03 07:36:39 发布 · 287 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php

检测思路:
在url用参数和key上生成一段hash值,如果参数别修改则生成的hash值和正确的hash值对不上,则验证失败

使用的加密类库:
PEAR2里的Crypt_HMAC2,需要下载引入

用户url列表,生成hash值
cryptForm.php

<?php
	require( 'D:\PHP\PEAR\Crypt\HMAC2.php' );

	#生成hash值的key
	define( 'HASH_KEY' , 'Test Hash Key' );

	#生成hash值类
	function createHash( $paramsArray )
	{
		$data = '';
		$ret = array();

		#构造加密字符串
		foreach( $paramsArray as $key => $value )
		{
			$data .= $key . $value;
		}

		$cryptor = new Crypt_HMAC2( HASH_KEY , 'md5' );

		$hash = $cryptor->hash( $data );

		return $hash;
	}
?>
<html>
<head>
</head>
<body>
	<ul>
		<li>
			<a href="validateHash.php?id=1&hash=<?php echo createHash( array( 'id' => 1 ) ); ?>">ChatLiu</a>
		</li>
		<li>
			<a href="validateHash.php?id=2&hash=<?php echo createHash( array( 'id' => 2 ) ); ?>">BruceLee</a>		
		</li>
	</ul>
</body>
</html>


生成的页面为

<html>
<head>
</head>
<body>
	<ul>
		<li>
			<a href="validateHash.php?id=2&hash=5dbd509b6e9dd26a8d3c7d1a5e3cc4e5">ChatLiu</a>
		</li>
		<li>
			<a href="validateHash.php?id=2&hash=84ecf3a0d5859281e074ee58d4f1d51d">BruceLee</a>		
		</li>
	</ul>

</body>
</html>


点击url后的验证类

<?php
	require( 'D:\PHP\PEAR\Crypt\HMAC2.php' );

	define( 'HASH_KEY' , 'Test Hash Key' );

	#验证用户是否修改url类
	function validateHash( $paramsArray , $userHash )
	{
		$data = '';
		$ret = array();

		#构造加密字符串
		foreach( $paramsArray as $key => $value )
		{
			$data .= $key . $value;
		}

		$cryptor = new Crypt_HMAC2( HASH_KEY , 'md5' );

		$hash = $cryptor->hash( $data );

		#验证url传过来的hash值是否与加密hash值相等
		return $hash == $userHash ? TRUE : FALSE;
	}

	if( isset( $_GET['id'] ) && isset( $_GET['hash'] ) )
	{
		$id = $_GET['id'];
		$hash = $_GET['hash'];

		$result = validateHash( array( 'id' => $id ) , $hash );

		if( $result )
		{
			echo 'good guy, you didn\'t touch my url';
		} else
		{
			echo 'bad guy, don\'t touch my url';
		}
	} else
	{
		die( 'parameter missed' );
	}
?>


若url未被修改,返回

[quote]good guy, you didn't touch my url[/quote]

如果用户修改了id,则传入和hash和正确的hash对不上,返回

[quote]bad guy, don't touch my url[/quote]
iteye_5102
关注
安全风险 - 检测设备是否为模拟器
Android、前端、小程序、后端
05-31 4091
在很多安全机构的检测中,关于模拟器的运行环境一般也会做监听处理,有的可能允许执行但是会提示用户,有的可能直接禁止在模拟器上运行我方APP可能做 Framework 的朋友思维会更开阔一些,不过现在也可以跟我这门外汉一起来稍微了解下。
网御入侵检测系统V3.2.72.0用户手册
09-23
### 网御入侵检测系统V3.2.72.0用户手册知识点解析 #### 一、系统介绍 **1.1 概述** 网御入侵检测系统V3.2.72.0是一款先进的网络监控解决方案,旨在帮助企业监测、分析并应对网络安全威胁。该系统集成了实时监测...
C语言散列表普通探测版
napo1987的专栏
07-15 903
这个是常规的散列表,大小总是为素数.探测方法也
JS 检测 url 变化事件
热门推荐
ting119的博客
07-04 1万+
window.onload=function(e){ console..log(window.location); }检测窗口变化事件,当窗口 url 发生变化,随时输出最新的 url。onhashchange 事件检测 url 值得变化,&lt;body onhashchange="myFunction()"&gt; &lt;p&gt;点击按钮修改当前 URL 的锚部分为 #part5&l...
html判断url修改请求的js,JavaScript判断URL是否有效的两种方法
weixin_36381298的博客
06-03 631
JavaScript判断URL是否有效的方法:1、在IE浏览器中可以使用XMLHTTP.open函数建立HTTP请求来判断。2、使用jQuery中的$.ajax方法建立HTTP请求判断URL是否有效。JavaScript判断URL是否有效的方法:方法一:(仅适用于ie)functionCheckStatus(url){XMLHTTP=newActiveXObject("Microsoft...
JavaScript判断用户是否对表单进行了修改的方法
10-24
主要介绍了JavaScript判断用户是否对表单进行了修改的方法,实例分析了javascript对表单操作与判定的技巧,需要的朋友可以参考下
基于 对抗学习的恶意URL检测.zip
02-24
这些数据集通常包含大量已标记的URL,标记信息表明URL是否为恶意。训练模型时,通常会将数据集分为训练集、验证集和测试集,以便评估模型的性能。 总的来说,这个项目展示了如何结合深度学习和对抗学习来构建一个...
基于PHP实现用户在线状态检测
12-16
`OnlineCheckBehavior`类就是这样一个行为,它在每次请求开始时运行,用来检测用户的在线状态。 3. **配置文件(tags.php)**:`tags.php`是ThinkPHP框架的配置文件,用于定义全局的行为。在这个例子中,我们添加了...
C#检测当前用户网络是否连接 源码
09-21
在C#编程中,检测当前用户的网络连接状态是一项常见的任务,尤其对于依赖网络服务的应用程序而言,这至关重要。本文将详细讲解如何使用C#来实现这一功能,以及相关的知识点。 首先,C#提供了多种方法来检查网络连接...
访问带有用户名、密码保护的 URL
yf.z的专栏
09-29 5633
转 https://blog.youkuaiyun.com/u010439291/article/details/46336527     一、URL,统一资源定位器。指向互联网上的“资源”,可协议名、主机、端口和资源组成 如: http://username:password@host:8080/directory/file?query#ref: Component Example valu...
如何检测浏览器url变化
weixin_30339969的博客
10-31 727
用户通过“点击触发”,“操作历史”,“直接访问URL”的方式修改当前URL。这三种触发方式会使浏览器做出不同的行为 html5提供了两种方式在页面中操作历史 history.pushState(state, title, url) 将当前URL和history.state加入到history中,并用新的state和URL替换当前, 不会造成页面刷新。 history.rep...
我需要a用户修改url才能能修改用户b,没有改url时不能修改
最新发布
11-03
<think>我们正在讨论如何实现"用户A必须先修改URL才能修改用户B的数据,否则禁止修改"的需求。核心思想是强制用户必须通过URL路径参数来指定操作对象(如用户B的ID),并在后端验证URL中的ID与当前登录用户是否匹配(即用户A只能修改自己的数据,不能修改用户B的),但如果用户A手动修改URL为指向用户B的ID,那么在后端验证时会发现权限不匹配而拒绝操作。 但是,这里有一个矛盾:用户A正常情况下只能修改自己的数据,所以不会出现用户B的ID。如果用户A想修改用户B的数据,就必须手动修改URL(例如将`/edit/123`改为`/edit/456`,其中123是用户A自己的内容ID,456是用户B的)。然而,我们并不希望用户A能够修改用户B的数据,所以当用户A手动修改URL后,后端会检查权限并拒绝。 所以,实际上我们并不需要用户A去修改URL(因为修改了也会被拒绝),而是通过这种方式来防止用户A在不知情的情况下(比如通过CSRF、者通过修改隐藏表单)修改用户B的数据。也就是说,我们要求操作的目标必须显式地出现在URL中,这样用户A无法通过正常界面操作来修改用户B的数据(因为界面上的链接都是指向用户A自己的内容),而如果用户A手动修改URL试图修改他人数据,则会被后端拦截。 因此,实现方案如下: 1. 修改前端:所有修改操作必须通过URL路径参数传递目标ID(例如使用RESTful风格的URL:`/edit/{content_id}`)。在用户A的界面上,所有编辑链接都指向用户A自己的内容(例如`/edit/123`)。 2. 后端验证: - 从URL中提取目标ID(如`content_id`) - 从会话中获取当前用户ID(如`user_id`) - 检查该`content_id`对应的数据是否属于`user_id` - 如果属于,则允许操作 - 如果不属于,则返回权限错误 这样,当用户A在未修改URL的情况下(即通过正常界面操作),由于界面上的链接都是指向用户A自己的内容,所以可以正常修改。当用户A试图修改用户B的数据时,他必须手动修改URL(比如将123改为456),但后端会检查内容456的所有者不是用户A,从而拒绝操作。 因此,我们实现了:未修改URL时(即使用正常链接)只能修改自己的内容(用户A修改用户A的内容);而修改URL指向他人内容时,会被后端拦截。 具体步骤: 步骤1:前端设计 - 在用户A的个人页面中,列出用户A拥有的所有内容,并为每个内容提供编辑链接,链接格式为:`/edit/{content_id}`,其中`content_id`是用户A的内容ID。 - 注意:前端不应该提供任何用户B内容的编辑链接给用户A。 步骤2:后端路由 - 设置路由:`GET /edit/<int:content_id>` 用于显示编辑页面(需要验证权限) - 设置路由:`POST /update/<int:content_id>` 用于处理更新请求(同样需要验证权限) 步骤3:后端权限验证(以Python Flask为例) ```python @app.route('/edit/<int:content_id>') def edit_content(content_id): current_user_id = session.get('user_id') # 从数据库查询该内容的所有者 content = Content.query.get(content_id) if not content: abort(404) if content.owner_id != current_user_id: # 权限不足 abort(403) # 正常显示编辑页面 return render_template('edit.html', content=content) @app.route('/update/<int:content_id>', methods=['POST']) def update_content(content_id): current_user_id = session.get('user_id') content = Content.query.get(content_id) if not content: abort(404) if content.owner_id != current_user_id: abort(403) # 更新内容 content.data = request.form['data'] db.session.commit() return redirect('/success') ``` 步骤4:前端禁止通过其他方式传递目标ID - 在编辑表单中,不要使用隐藏字段来传递content_id(因为这样用户可以通过开发者工具修改隐藏字段的值,从而绕过URL修改)。在更新请求中,我们已经在URL中包含了content_id,后端也是从URL中获取,所以表单中不需要再包含content_id。 这样,用户A只能通过点击自己内容上的编辑链接(URL为`/edit/123`)来修改自己的内容。如果用户A试图修改URL(比如改为`/edit/456`),则后端会验证权限并返回403错误。 注意:这个机制依赖于后端对每一次操作都进行权限验证(包括显示编辑页面和处理更新请求)。 引用说明: - 引用[2]提到了会话机制,我们通过会话获取当前用户ID。 - 引用[3]中提到了HTTP请求的结构,包括URL路径参数和表单数据,我们要求目标ID必须出现在URL路径中。 因此,我们通过强制目标ID出现在URL中(前端设计)和后端严格验证权限,实现了用户A在未修改URL时只能修改自己的内容,而修改URL试图操作他人内容时会被后端拦截。 相关问题: 1. 如果用户A知道用户B的内容ID,并通过手动构造URL访问,虽然会被拦截,但这样会不会导致安全问题(如信息泄露)? 2. 除了URL路径参数,还有其他方式可以强制显式传递操作对象ID吗? 3. 如何防止攻击者通过枚举URL参数(如/content/1, /content/2)来探测其他用户的内容ID? 我们将生成的相关问题是: 1. 如何防止用户通过URL参数猜测进行越权访问?(这个问题已经存在) 2. 如何设计安全的资源访问控制以防止信息泄露? 3. 除了URL路径参数,使用查询字符串(如?id=123)是否同样安全? 注意:上述实现中,我们假设了内容ID在全局是唯一的(不同用户的内容ID不重复)。如果内容ID不是全局唯一,而是每个用户独立(例如每个用户有自己的内容ID序列,可能重复),那么我们需要同时验证用户ID和内容ID。 但是,通常内容ID是全局唯一的,所以只需验证内容ID的所有者即可。 总结:通过URL显式传递目标ID和后端权限验证,可以实现需求。 </think>### 实现"用户必须修改URL才能修改目标用户"的安全方案 #### 核心设计原理 通过强制操作目标的**显式标识传递**和**二次权限验证**实现需求,确保: 1. **未修改URL时**:用户只能操作默认对象(自己) 2. **修改URL后**:系统验证新目标的操作权限 3. **权限不匹配**:立即终止操作并记录审计日志 ```mermaid graph TD A[用户访问默认URL] --> B{URL是否包含目标用户ID?} B -->|否| C[自动重定向到自身操作页] B -->|是| D[验证目标ID权限] D -->|权限有效| E[执行修改操作] D -->|权限无效| F[返回403禁止访问] ``` #### 具体实现步骤 ##### 1. 前端路由强制(React示例) ```jsx // 默认路由指向当前用户 <Route path="/edit-user" element={<EditUser targetId={currentUserId} />} /> // 显式目标路由需要参数 <Route path="/edit-user/:targetId" element={<EditUser />} /> // 组件内部权限验证 function EditUser({ targetId = null }) { const { targetId: paramId } = useParams(); const operationId = paramId || targetId; // 如果没有URL参数,自动重定向到自身 if(!paramId) { navigate(`/edit-user/${currentUserId}`); return null; } // 继续执行操作... } ``` ##### 2. 后端验证逻辑(Node.js示例) ```javascript app.put('/api/users/:targetId', (req, res) => { const currentUser = req.session.user.id; // 从会话获取当前用户[^2] const targetId = req.params.targetId; // 强制从URL获取目标ID // 关键验证:URL中的目标是否可操作 if(targetId !== currentUser) { // 记录未授权访问尝试 auditLog(`非法访问: ${currentUser}尝试修改${targetId}`); return res.status(403).json({ error: '需显式修改URL获得操作权限' }); } // 执行修改操作 db.updateUser(targetId, req.body); res.status(200).json({ success: true }); }); ``` ##### 3. 安全验证流程对比 | 操作场景 | URL示例 | 系统行为 | |-----------------------|---------------------|----------------------------| | 未修改URL访问默认路径 | `/edit-user` | 自动重定向到`/edit-user/self123` | | 修改URL操作自身 | `/edit-user/self123`| 允许操作 | | 修改URL操作他人 | `/edit-user/other456`| 返回403禁止访问 | #### 关键防御机制 1. **URL参数强制验证** - 后端仅接受路径参数`:targetId` - 拒绝处理请求体Header中的目标ID[^3] 2. **权限双因子检查** $$ \text{操作权限} = \begin{cases} \text{URL包含显式targetId} & \land \\ \text{targetId == session.userId} \end{cases} $$ 3. **默认路径重定向** - 访问无参数路径时自动填充当前用户ID - 避免用户绕过URL修改步骤 #### 防御效果验证 1. **用户A未修改URL** - 访问`/edit-user` → 重定向到`/edit-user/userA` - 仅能修改自身数据 2. **用户A修改URL操作B** - 手动访问`/edit-user/userB` - 后端检测`userB ≠ userA` → 返回403错误 - 触发安全审计记录[^1] 3. **用户A修改URL操作自身** - 访问`/edit-user/userA` → 通过验证 → 完成修改 --- ### 相关问题 1. 如何防止攻击者通过URL参数枚举探测其他用户ID? 2. 在微服务架构中如何统一实施URL参数验证? 3. 前端路由框架如何处理动态权限重定向? 4. 如何设计安全审计日志记录未授权访问尝试?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值