线上攻防实验 通用API接口签名加密通讯安全参考

通过本实验进行深度API接口签名加密通讯安全开发实践；我们提取了本实验的API接口签名加密通讯核心安全策略，进行深度安全实践，在ThinkPHP5框架有真实场景实现API接口签名加密通讯！
已实践的实验
TP5框架接口签名加密通讯安全指南

本攻防实验地址

https://www.anquanlong.com/lab_introduce?lab_id=18

0x1 实验说明

类似安全龙主站的API接口签名加密通讯安全参考，有效防止前端提交的表单被抓包篡改，自动化**，适用WEB/APP接口签名通讯加密，在APP开发实践中效果更感人。在WEB/APP中RESTful风格的API或者WEB混合开发实践中，需要对前端JS生成签名的方法进行混淆加密。

0x2 实验环境说明

ubuntu：16、php：7.2、apache：2.4、代码开源
靶场语言：PHP
实验室功能支持，拦截请求、代码审计，通过拦截请求你可以更好地完成实验，通过代码审计你可以直观地了解漏洞是如何形成的以及如何进行修复；让攻击和防御用代码来说话。

0x3 API接口签名加密通讯安全场景

通用于前端与后端的访问通讯sign签名验证，不同于类jwt、session身份验证；是资源授权访问另一种方式，有效防止前端提交的表单被抓包篡改，自动化**。该场景属于API安全，有效防止API未授权访问漏洞的形成。

例如：当你在渗透测试过程中遇到无法改包或者除非重复提交进行**。在安全龙主站，对每个API接口访问或者提交数据都需要验证Sign签名，才能正常访问或者提交参数。