线上攻防实验 TP5框架接口签名加密通讯安全指南

本实验通过我们之前推出的“通用API接口签名加密通讯安全指南”，进行深度安全实践，在ThinkPHP5框架有真实场景实现API接口签名加密通讯！
安全龙俩个API接口签名加密通讯攻防实验不一样地方有：1、代码上更优雅；2、基于TP5上的实践；3、防御思路更清晰;4、ThinkPHP5标准MVC开发风格。
同时，也说明我们出品的“通用API接口签名加密通讯安全指南”，可以用在任何框架上的；这个就是安全龙攻防实验室的强大的地方。

本攻防实验地址

https://www.anquanlong.com/lab_introduce?lab_id=19

0x1 实验说明

类似安全龙主站的API接口签名加密通讯安全参考，有效防止前端提交的表单被抓包篡改，自动化爆破，适用WEB/APP接口签名通讯加密，在APP开发实践中效果更感人。在WEB/APP中RESTful风格的API或者WEB混合开发实践中，需要对前端JS生成签名的方法进行混淆加密。

0x2 实验环境说明

ubuntu：16、php：7.1、apache：2.4、代码开源
靶场语言：PHP
开发框架：thinkphp 5.0.24

实验室功能支持，拦截请求、代码审计，通过拦截请求你可以更好地完成实验，通过代码审计你可以直观地了解漏洞是如何形成的以及如何进行修复；让攻击和防御用代码来说话。

0x3 API接口签名加密通讯安全场景

通用于前端与后端的访问通讯sign签名验证，不同于类jwt、session身份验证；是资源授权访问另一种方式，有效防止前端提交的表单被抓包篡改，自动化爆破。该场景属于API安全，有效防止API未授权访问漏洞的形成。

例如：当你在渗透测试过程中遇到无法改包或者除非重复提交进行爆破。在安全龙主站，对每个API接口访问或者提交数据都需要验证sign签名，才能正常访问或者提交参数。