文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

Uber服务端响应中的API调用缺陷导致的账户劫持

今天分享的writeup是中国香港白帽Ron Chan (@ngalongc)发现的一个关于Uber网站的漏洞,他通过分析Uber的微服务架构和其中的API调用机制,利用其中的服务端响应缺陷,能以...从上述响应消息可看出,涉及该查询链接的后端API GET请求调用如下所示: http://127.0.0.1:123/v1/partners/xxxx/statements/current?...仔细观察上述响应消息,可见其中的API调用对current的请求来自于原始前端请求链接:https://partners.uber.com/p3/money/statements/view/current.../4cb88fb1-d3fa-3a10-e3b5-ceef8ca71faa Uber服务端对这个请求路径的响应包含了如下的API GET请求调用: "href": "http://127.0.0.1...接下来,我们可以用 .. / 这种目录遍历方式,构造直达服务端根目录的前端请求链接,然后,到达根目录后,可以构造请求,获得服务端包含用户token和API调用的响应,另外,还可以用 # 来截断一些不必要的请求字段

1.8K10

调用外部api时的数据一致性问题

事务的一致性需要由原子性来保证,即对于一系列操作,要么全部成功,要么全部失败回滚,以上述例子而言,账户金额扣除发生异常时,之前的写操作就要全部回滚,恢复到执行前的状态,这个大部分数据库都提供支持,我们平时只需要借助...数据库事务与隔离级别 全面分析 Spring 的编程式事务管理及声明式事务管理 ThreadLocal与Spring 事务管理 然而,并不是每一步操作都可以借助数据库的事务机制保持数据一致性的,有时候我们常常要调用开放平台的...api接口,比如一些第三方的卖家管理软件有时候会帮助淘宝卖家进行一些自动上下架的操作,这些操作全部是通过定时调用淘宝开放给开发者的自动上下架api进行的,因为后续有新的待操作商品加入,所以调用会每隔几个小时进行一次...,调用返回正确结果后再修改本地数据库相关的状态,一个比较的直观的过程是这样: // 该方法开启事务 传播属性为REQUIRED public void shelveOperation(...api后更新本地状态 } } 在编写业务逻辑代码时,常常会想到一个二八定律例子,某段代码仅用了百分之二十的时间编写测试完成,业务百分之八十的情况可以正常运行,但剩余百分之二十的特殊情况

6.4K81
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    超大规模密码泄露事件下的身份认证安全重构

    该事件不仅暴露了海量活跃账户的登录信息,更揭示出当前主流身份认证体系在面对系统性攻击时的结构性脆弱。...传统以密码为核心的认证模型,在面对数十亿级高质量凭证库时,其防御能力几近失效。尤其当用户在多个服务间复用相同密码时,单一平台的泄露即可引发跨域连锁反应。...实时凭证泄露监控企业应集成HaveIBeenPwned API或自建泄露数据库,定期比对员工账户是否出现在已知泄露集中,并强制重置。...五、关键技术实现与验证(一)凭证泄露检测脚本以下Python脚本调用HaveIBeenPwned API,检查邮箱是否出现在已知泄露中:import hashlibimport requestsdef...check_pwned_email(email):url = f"https://api.haveibeenpwned.com/api/v3/breachedaccount/{email}"headers

    37210

    如何写一份实用的技术文档?——以API接口文档为例

    如何写一份实用的技术文档?——以API接口文档为例 技术文档是连接开发与使用的桥梁 在软件开发中,API接口文档是最常见、也是最关键的一类技术文档之一。...接口文档不是写给“自己”的,而是写给“调用者”的。 常见的API文档使用者包括: 同团队的前后端开发人员; 第三方接入方(如合作伙伴或客户); 测试工程师进行自动化测试。...二、结构规范:让信息层次清晰可见 ✅ 推荐结构(以RESTful API为例): 概述 接口用途、版本说明、认证方式 通用说明 请求格式、响应格式、错误码定义 接口详情 接口路径、请求方法、参数说明...C -->|是| D[/user/profile] C -->|否| E[返回401] 五、实战案例:为什么调用返回401? 好的文档不仅要讲“怎么用”,还要预判“哪里会出错”。...✅ 解决方案: 检查是否携带有效Token; 查看Token有效期(通常为2小时); 确保签名算法正确(如HMAC-SHA256); 查阅文档中的“错误码说明”部分。

    48310

    构建Vue项目-身份验证

    这正是我们使用api.service.js所要实现的目标—封装Axios库,以便在不可避免地出现新业务逻辑时,我们可以只对该单一服务进行升级,而不必重构整个应用程序。...要显示此数据,创建一个Vuex Store, 并使用state存储API响应—通过mapState和mapActions在组件中使用它。...响应,并检查响应的状态是否为401。...如果是,则我们正在检查401是否在令牌刷新调用本身上发生(我们不想陷入循环中) 永久刷新令牌!)。然后,代码将刷新令牌并重试失败的请求,并将响应返回给调用方。...有一些解决方案可以在401发生时将请求排入队列并在队列中处理它们,但是至少对于我来说,上面的代码提供了一种更为优雅的解决方案。

    8.6K20

    聊一聊接口测试如何设计有效的错误响应测试用例

    每个错误类型对应的HTTP状态码也要正确,比如400表示客户端错误,401未授权,404资源不存在,500服务器错误等。我们还要考虑如何覆盖各种边界情况和异常情况。...还有资源相关的错误,比如访问不存在的资源,或者尝试操作其他用户的资源,这时候需要404或403。同时,处理并发操作时的冲突,比如使用版本号或时间戳来检测资源是否已被修改,返回409 Conflict。...认证方式错误:缺失 Authorization 头或使用错误的认证类型(如 Basic 代替 Bearer),返回 401。c....依赖条件不满足:下单时库存不足,返回 400 及明确提示(如 "Insufficient stock")。...city=Beijing(调用天气API)场景:第三方天气服务未响应(超时3秒)预期响应:状态码:504 Gateway Timeout响应体:json{  "code": "THIRD_PARTY_API_TIMEOUT

    1K10

    【python】python指南(十三):FastAPI鉴权Authorization方法

    如果密钥无效,将抛出一个 HTTP 401 Unauthorized 异常。在 API 路由中,我们使用了这个依赖项,确保只有通过鉴权的请求才能访问到 AI 服务。...同时,我们定义了请求和响应的模型,以确保数据的正确性和一致性 2.1.2 如何理解api_key: str = Depends(authenticate) 在 FastAPI 中,Depends 函数用于定义依赖项...,这些依赖项可以是函数、类或其他可调用对象。...当在路由处理函数的参数中使用 Depends 时,FastAPI 会自动调用这个依赖项,并将结果传递给参数。...请求头中的Content-Type: application/json通常不用添加,因为当你使用 json 参数传递数据时,requests 会自动设置这个头。

    1.9K10

    接口测试 | 27 HTTP接口详细验证清单

    概述 当我们在构建、测试、发布一套新的HTTP API时,包括我在内的大多数人都不知道他们所构建的每一个组件的复杂性和细微差别。...即,安全的方法不会修改资源状态,尽管多次调用的返回值可能不一样(被其他非安全方法修改过)。幂等性,是指该方法多次调用返回的效果(形式)一致,客户端可以重复调用并且期望同样的结果。...身份验证,API应该提供一个401状态代码。...这允许API服务器在浪费带宽返回错误响应(例如401或403)之前验证请求的有效性。支持这种功能不是很常见,但是它可以提高API的响应能力并在某些场景中减少带宽。...401 before Authorization, 一些HTTP客户端库的另一个奇怪之处在于,通常需要一个“401未授权”的响应,然后才会用授权标头发出请求。

    1.8K60

    聊一聊依赖登录状态的接口如何进行测试?

    比如用Postman的话,可能需要先发一个登录请求,然后从响应中提取Token,再在后续请求的Header里加上这个Token。...比如已经登录的情况下调用接口是否正常,未登录时是否返回401,还有Token过期的情况如何处理。可能需要测试Token失效后的响应,这时候可能需要手动修改Token或者调整时间戳来模拟过期。...一、获取认证信息模拟登录流程调用登录接口,获取 Token、Cookie 或 Session ID。...(profile_url)  # 无认证信息assert response.status_code == 401Token 过期/无效使用伪造或过期的 Token,验证返回 403 Forbidden。...测试方法:用户 A 登录后,调用接口时篡改资源 ID(如 /user/123/orders 改为 /user/456/orders)。预期结果:返回 403 或 404,禁止访问他人数据。

    73720

    Vue 框架学习系列七:Axios 与 HTTP 请求在 Vue 3 中的应用

    Axios是一个基于Promise的HTTP客户端,它可以在浏览器和Node.js中运行,并且提供了易于使用的API来处理HTTP请求和响应。...// 对响应错误做点什么,比如统一处理错误状态码 if (error.response.status === 401) { // 处理未授权错误,比如重定向到登录页面 }...错误处理在处理HTTP请求时,错误处理是非常重要的。Axios的响应拦截器可以帮助你统一处理不同类型的错误,比如网络错误、超时错误和HTTP状态码错误。...在上面的示例中,我们已经在响应拦截器中处理了一个401未授权错误。你可以根据需要添加更多的错误处理逻辑。...结语通过本文的介绍,你应该已经了解了如何在Vue 3项目中安装、配置和使用Axios来处理HTTP请求。Axios提供了易于使用的API和强大的功能,使其成为与后端API进行交互的流行选择。

    2.1K10

    我们必须要知道的RESTful服务最佳实践

    实际上在工作中对api接口规范、命名规则、返回值、授权验证等进行一定的约束,一般的项目api只要易测试、足够安全、风格一致可读性强、没有歧义调用方便我觉得已经足够了,接口是给开发人员看的,也不是给普通用户去调用...5.可缓存   在万维网上,客户端可以缓存页面的响应内容。因此响应都应隐式或显式的定义为可缓存的,若不可缓存则要避免客户端在多次请求后用旧数据或脏数据来响应。...获取今天登陆的用户、登陆时间降序排列 3. url命名规范 API 命名应该采用约定俗成的方式,保持简洁明了, 在RESTful架构中,每个url代表一种资源所以url中不能有动词,只能有名词,并且名词中也应该使用复数...当状态值为”fail”或”error”时,data仅包含错误原因或异常名称、或者null也是可以的 返回成功的响应json格式 { "code": 200, "message": "success...android博客园客户端的时候,patch、delete、post操作时body响应里面没有任何信息,仅仅只有http status code。

    1.6K30

    http响应码简介

    http响应码简介 1 返回401 一般生产环境出现这个问题,是由于没有通过接口的登录认证。...2 返回403 如果生产环境请求某个接口,返回码是403,则说明目前没有访问资源的权限。 这种场景跟返回码是401有区别。 401着重于认证问题,即用户没有提供正确的身份验证信息。...而403则是在认证成功的基础上,用户没有足够的权限去访问请求的资源。 要解决这个问题,我们需要给接口的调用方,分配相应的访问权限。...如果没有通知所有的接口调用方,都可能会出现请求接口返回码为404的情况。 还有一种可能也会导致请求接口报404的问题,接口地址之前注册到了API网关中,但API网关的配置出现了问题。...建议出现异常时,把接口请求参数打印出来,方便后面复现问题。 导致这种问题的原因有很多,我们只能根据服务器上的错误日志,和相关的业务代码逐一排查。

    67710

    不写代码实现智能检索:n8n + 向量数据库实战指南

    n8n + Pinecone + ModelScope:知识库向量查询工作流实战前言在构建智能知识库系统时,如何快速实现语义检索是个核心问题。...如果验证失败,连接到一个 Respond to Webhook 节点返回 401 错误:响应格式选择 JSON,内容设置为:{ "error": "Unauthorized", "message":..."无效的 API Key"}响应代码填写 401。...这样当密钥错误时,调用方能清晰地知道问题所在,而不是收到模糊的执行失败提示。生成查询向量验证通过后,需要调用 ModelScope 的 Embedding 接口,将用户的查询文本转换为向量。...Webhook 负责接收请求并控制响应时机,If 节点用于权限控制和流程分支,HTTP Request 节点调用外部服务,Code 节点则处理复杂的数据转换逻辑。

    1.6K10

    Python+Pytest+Allure+Json 最全Api自动化框架

    这是无量测试之道的第225篇原创 今天的文章主要是围绕着 api 自动化的方向来给大家分享的,关于 api 自动化的框架前期推文都有分享过,之前的分享测试数据是基于 excel 管理的,测试报告生成是基于...第一部分:目录总体结构 模块解释说明: commons:这个包下主要是一些公用的类文件 ApiRequest 这个文件主要是在拼接请求信息,然后再调用BaseRequest 中的http的请求方法...:测试数据文件目录 main:入口文件 第二部分:核心代码实现 1、BaseRequest.py 这个类文件,其中核心的方法如下图所示: 2、ApiRequest.py 这个类文件,它主要是组装了请求信息调用了上面的核心方法并返回了整个响应信息...3、HandleCompare.py 这个类文件,它主要是在测试用例的文件中进行调用断言的。...,在设计测试数据时,我们一共在 json 文件里面设计了四组 testcase。

    81110

    从零开始理解HTTP协议及报文分析

    前言 从事性能测试必不可绕过的就是协议,对基本知识的了解,还是深入掌握协议的机制,都能让你在从事性能测试实施时显得更加顺手。 下面我们就HTTP协议及性能测试过程必须掌握的一些分析工具来进行分享。...4xx:表示客户端的请求有非法内容 5xx:标识服务器未能正常处理客户端的请求而出现意外错误 常见状态码说明: 200 OK: 表示客户端请求成功 400 Bad Request: 表示客户端请求有语法错误...,不能被服务器端解析 401 Unauthonzed: 表示请求未经授权,该状态码必须与WWW-Authenticate报文头一起使用 404 Not Found:请求的资源不存在,例如输入了错误的url...响应头 一般情况下,响应头会包含以下,甚至更多的信息。...响应内容 服务端返回给请求端的文本信息。

    1.3K31

    从0开始构建一个Oauth2Server服务 资源服务器

    这是处理跨大量资源服务器验证访问令牌的好方法,因为这意味着您可以将访问令牌的所有逻辑封装在单个服务器中,通过 API 将信息公开给系统的其他部分。...过期令牌 如果您的服务使用短期访问令牌和长期刷新令牌,那么您需要确保在应用程序使用过期令牌发出请求时返回正确的错误响应。...返回带有标头的 HTTP 401 响应,WWW-Authenticate如下所述。如果您的 API 通常返回 JSON 响应,那么您也可以返回具有相同错误信息的 JSON 正文。...错误代码和未经授权的访问 如果访问令牌不允许访问所请求的资源,或者如果请求中没有访问令牌,则服务器必须使用 HTTP 401 响应进行回复,并在响应中包含一个标头WWW-Authenticate。...“领域”值用于传统的HTTP 身份验证意义上。“scope”值允许资源服务器指示访问资源所需的范围列表,因此应用程序可以在启动授权流程时向用户请求适当的范围。

    1.4K30
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券