Python API Spam Prevention?

Hallo Freunde,

ich nutze ein Python Script das automatisch nach erfolgreicher Registrierung ein JSON String zu meiner Website sendet, per requests.post im Format: https://[URL]/upload.php

Von dort werden die Daten verarbeitet und in der Datenbank eingetragen.

Nun ist mir aber klar, dass natürlich jeder theoretisch die URL entnehmen könnte, und ein kleines Script erstellen kann, das permanent Anfragen sendet und damit die Datenbank mit Invalider Daten füllt.

Nun würde ich gerne erfahren, was man dagegen tun kann!

Mit freundlichen Grüßen

1 Antwort

Fragylein

06.11.2024, 03:04

Du kannst mehrere Schutzmaßnahmen einbauen, wie z.B. CAPTCHA-Überprüfung, API-Schlüssel oder Token-basierte Authentifizierung, um sicherzustellen, dass nur berechtigte Anfragen akzeptiert werden. Zudem hilft es, Anfragen mit einer Rate-Limitierung zu versehen und verdächtige IPs oder Muster zu blockieren, um Missbrauch zu verhindern.

DerKeks1841

Beitragsersteller

06.11.2024, 03:11

Hallo, danke erstmal für deine Antwort. Momentan nutze ich eine Rate-Limitierung, wie könnte ich denn ein "API-Schlüssel oder Token-basierte Authentifizierung" integrieren? Denn das Problem ist ja, dass man Hardcoded API Key nicht im Code einbetten kann, da möglicherweise dies ausgelesen werden kann. LG

KarlRanseierIII

06.11.2024, 15:44

@DerKeks1841

Ich gehe davon aus, Du hast keine Kontrolle über die Ausführung des Pythonskriptes - Will sagen, man könnte das Skript auch immer wieder starten - insofern wäre es auch egal, ob dort ein nicht extrahierbarer Schlüssel o.ä. drin läge.

Man könnte ein time based ticket nutzen.

Das Skript bittet um ein Ticket, dieses ist zeitlich begrenzt gültig, z.B. 1 Sekunde. Beim eigentlichen Übermittlungsschritt muß das Ticket wieder vorgelegt werden (und wird gegengeprüft), ist kein Ticket vorhanden (oder fehlerhaft), werden die Daten verworfen. Nach Bedarf kann ein fehlendes oder falsche Ticket zu einem Gracing führen, also keine neuerliche Ticketvergabe für einen Zeitraum.

Nun noch die Rate der Ticketanforderungen limitieren..

DerKeks1841

Beitragsersteller

11.11.2024, 10:09

@KarlRanseierIII

Also verstehe ich das richtig, dass für eine Anfrage ein Ticket abgefragt wird um die Daten sichern zu dürfen?

Aber dann könnte der Angreifer doch für jede Request ein neu generiertes Ticket erstellen, damit jede Anfrage unique ist, oder verstehe ich das falsch?

KarlRanseierIII

11.11.2024, 14:32

@DerKeks1841

Nein, Du hast schon grundlegend recht. Es verhindert im Endeffekt nur, daß Du direkt die Daten übermitteln kannst, weil der zusätzliche Schritt benötigt wird (Das kann man eben herausfinden, wenn man den Source anschaut).

In Kombination mit einer Ratenlimitierung (bzw. Beschränkung der Gesamttickets je IP) kannst Du zumindest ein Flooding halbwegs mitigieren.

Die Frage ist halt, wie es normalerweise nach dem Übermitteln der Daten weitergeht?

Normalerweise würde man bei eienr Registrierung ja z.B. eien Bestätigungsmail erzeugen. (zweiter unabhängiger Kanal).

Ähnliche Beiträge

JSON response mit Python richtig auswerten?

Guten Tag zusammen,

nach langem fuckeln und ausprobieren habe ich es nun endlich geschafft, eine funktionierende JSON Anfrage zu schicken und bekomme auch eine brauchbare Antwort zurück. Problem ist nur, dass die Antwort welche ich bekomme, 250 Zeilen hat. Mich interessieren allerdings immer nur die ersten 16. Ich programmiere in Python.

Bisher sieht es so aus, was ich mir zusammengebaut habe

response = requests.post(api_url, …….)

test = response.text

anzahlZeilen = test.count

print(test)

print(anzahlZeilen)

Wie kann ich mir also nur diese 16 Zeilen Printen?

Danke im Voraus!

...zum Beitrag

Python werte filtern?

Hallo,

wie kann ich die Werte aus einer Datenbank filtern?

Ich möchte die Werte [(23323,), (123232,), (2321212,)] addieren, das sind Daten aus meiner Datenbank.

Wie kann ich diese addieren?

Liebe Grüße

...zum Beitrag

Welche Programmiersprache ist dafür die beste (Datenbank)?

Hallo, ich würde gerne eine Datenbank programmieren, bei welcher ich ein einfaches Interface habe (worüber ich neue Einträge machen und alte Eingaben abrufen kann). Jedoch bin ich mir sehr unsicher, welche Sprache dafür die beste ist. Am besten sollten die Daten verschieden Unterkategorien haben.

Vielen Dank im Voraus!

P.S.: Ich habe bereits Erfahrung mit Java und Python.

...zum Beitrag

Rest API - PHP?

Hey, ich habe eine locale MySQL Datenbank, nun möchte ich diese an meine App anbinden. Dazu ist es sinnvoll eine Rest API zu entwickeln. Ich habe es mit folgender Anleitung versucht:

https://code.tutsplus.com/tutorials/how-to-build-a-simple-rest-api-in-php--cms-37000

Jedoch funktioniert es nicht. Also ich kann die API im Browser und mit Postman abrufen. Aber in meiner App kann ich trotz richtiger Anbindung keine Daten ausgeben.

Hat jemand eine Idee woran es liegen kann?

Danke schonmal für die Hilfe!

...zum Beitrag

Was soll ich alles auf Fiverr anbieten (Jugendlicher, Programmierer)?

Hi.

Also ich würde ganz gerne etwas Geld verdienen, vor allem durch's Programmieren. Problem: Ich mache meine Mittlere Reife erst in 2 1/2 Jahren, da ich durch Corona und Inkomepetenz 2. mal eine Klasse wiederholen musste.

Mir wurde mal vorgeschlagen, mich auf Fiverr zu registrieren. Jetzt frage ich mich aber, was ich am besten anbieten sollte. Ich erzähl hier einfach mal, was ich schon so für Zeug gemacht habe, damit ihr wisst, was ich so kann.

Ich hab mit folgenden Dingen schon gearbeitet (also relativ intensiv):

Neuronale Netzwerke (relativ "neu") [Tensorflow, Python]
Minecraft Plugins [Spigot API, Java]
Webseiten (static und und dynamic) [HTML, CSS, JavaScript, Python/PHP/C++]
Automatisierungen (vor allem Webseiten) [Selenium, Python]
Scrapper [BeatifulSoup, Python]
Discord API (z.B. um Daten über User zu kriegen)
Discord Bots [Python und Java, von Scratch und mit Library]
MySQL Datenbanken [Python, C#]
SQLite Datenbanken [Python, C#, Java]
WinForms [C#]
WPF [C#]
REST API's (um genau zu sein eigene gemacht und die Discord API verwendet)
win32.dll [Python, C++, C#]
YouTubeDLL [Python]
Spotify API (z.B. zum Song wechseln, oder Song Daten anzufragen)

Als übersicht, ich "kann" folgende Programmiersprachen (ich weiß, HTML und CSS sind keine Programmiersprachen) [Sortiert nach Skill]:

Python
C#
Java
PHP
HTML/CSS/JavaScript <- Alles relativ gleich gut
C++ (Simple Sachen, wie Web Server)

Wenn man beachtet, was ich kann. Was würdet ihr mir zum anbieten, auf Fiverr, empfehlen?

Danke im vorraus und lg.

...zum Beitrag

Python requests findet Seite nicht?

Hi ich nutze requests um eine Suchanfrage auf einer Seite zu starten.
Wenn ich den Link über den Brower öffne finde ich den gesuchen inhalt.

Wenn ich nun den gleichen link über python requests aufsuche finde ich keinen Inhalt.
Ich bin absolut verzweifelt.

Link:
https://saddle-world-online.de/wp-json/wp/v2/media?search=ex_18-13_schwarz

Ich nutze folgenden Code:

import requests

url =  'https://saddle-world-online.de/wp-json/wp/v2/media?search=ex_18-13_schwarz'
response = requests.get(url)
result = response.json()

Ergebnis: []

...zum Beitrag

OpenWeatherMap Python?

import requests

API_KEY = "xyz"

city = "Berlin"

url = 'https://api.openweathermap.org/data/2.5/weather?q={city}&appid={API_KEY}&units=metric'

data = requests.get(url).json()

temp = ['main']['temp]-273.15

print('Temperatur: ' + temp )

Code gibt es so im Internet. Allerdings kommt bei mir folgender Error:

Traceback (most recent call last):

File "/xyz/wetter.py", line 9, in <module>

temp = data['main']['temp']-273.15

KeyError: 'main'

Irgendwelche Ideen an was das liegen kann?

...zum Beitrag

Philips TV kontrollieren Python?

Hey liebe Programmierer Community,

ich schreibe mir gerade ein Skript mit dem ich unseren Philips Fernseher (Kein Android TV) mit Tkinter kontrollieren Kann

https://pastebin.com/DBCv2nkx

Volume Up und Down verändern klappt auch aber ist sehr umständlich.

Der Fernseher benutzt die Joint Space API (Documentation).

Laut dieser sollte ich ganz einfach meinen Input ändern können, aber ich kriege es nicht hin dass post ausgeführt wird.

import requests
x = requests.post('http://192.168.178.9:1925/1/input/key', json={"key": "VolumeDown"})
print(x)

↑ gibt mir zwar aus, <Response [200]> aber die Lautstärke wird nicht verändert.

Könnt ihr mir sagen was ich falsch mache.

...zum Beitrag

Pandabuy API?

Hi,

ich will eine Webseite machen, die wie ein Pandabuy Spreesheat ist und möchte versuchen die webseite automatisch etwas u füllen und die Preise aktuell halten. Dazu habe ich gefunden dass ich die API von Pandabuy erstmal brauche.

Deswegen wollte ich fragen wie genau das funktioniert dann nach der API und ob das überhaupt so möglich ist oder ich z.b. per JSON Datenbank alles manuell füttern muss.

Danke im Vorraus.

(ALso HTMl und Programmiererfahrung für webseiten habe ich)

...zum Beitrag

Auf Datenbank mit Python zugreifen?

Wie kann man mit Python einfach auf die eigene Datenbank zugreifen?

Also nicht SQL Code ausführen sondern mit einer API direkt drauf zugreifen.

...zum Beitrag

Fernsehserien API (Programmierschnittstelle)?

Woher bekommen Services wie "fernsehserien(dot)de", "serienjunkies(dot)de" oder "themoviedb(dot)org" ihre Daten über neue Serien? Machen die das alles selbst über "Web Scraping" oder gibt es irgendwo eine Programmierschnittstelle oder Datenbank bei der man neue, zukünftige Episoden abfragen kann?

Bei den bestehenden Webseiten im Internet kann man immer nur nach den zukünftigen Folgen einer einzigen Sendung filtern.

Ich hätte jedoch gerne eine Datenbank oder einen Service, bei dem ich alle Sendetermine der zukünftigen Episoden mehrerer ausgewählter Serien gleichzeitig suchen und nach Datum sortieren kann. Mit SQL-Abfragen oder Ähnlichem wäre so etwas mit passender Datenbank durchaus möglich.

Ziel wäre es, all seine Lieblingsserien eingeben zu können, und immer einen aktuellen Kalender aller neuen Sendetermine, aller neuen Folgen zu haben. Genau geht es mir hier um die Serien des öffentlich-rechtlichen Rundfunks (ARD - extra 3, ZDF - Die Anstalt, etc.)

...zum Beitrag

JavaScript Daten von API abfragen?

Ich habe ein JavaScript Script, in dem ich ganz am Anfang einer Variable die Daten von einem API Request zuweisen muss. Die Daten sollen also in der Variable gespeichert werden und dann der restliche Code ausgeführt werden. Ich möchte, dass die Zuweisung so aussieht:

let data = loadData() | {/*default json*/}

Die Daten müssen da sein bevor der restliche Code ausgeführt wird, da ich sie in einer funktion im onload teil brauche.

...zum Beitrag

CURL Code in Java umwandeln?

Ich versuche über die DEEP API ein Bild generieren zu lassen.

Der Curl code dazu ist:

curl \
    -F 'text=YOUR_TEXT_URL' \
    -H 'api-key:quickstart-QUdJIGlzIGNvbWluZy4uLi4K' \
    https://api.deepai.org/api/text2img

Mein Java Code ist:

URL url = new URL("https://api.deepai.org/api/text2img");
HttpURLConnection con = (HttpURLConnection)url.openConnection();
con.setRequestMethod("POST");
con.setRequestProperty("Content-Type", "application/json");

JSONObject data = new JSONObject();
data.put("text", "TEXT");
data.put("api-key", "quickstart-QUdJIGlzIGNvbWluZy4uLi4K");

con.setDoOutput(true);
con.getOutputStream().write(data.toString().getBytes());

try(BufferedReader br = new BufferedReader(
        new InputStreamReader(con.getInputStream(), "utf-8"))) {
    StringBuilder response = new StringBuilder();
    String responseLine = null;
    while ((responseLine = br.readLine()) != null) {
        response.append(responseLine.trim());
    }
    return response.toString();
}

Ich bekomme jedoch folgende Fehlermeldung:

Server returned HTTP response code: 401 for URL: https://api.deepai.org/api/text2img

Kann mir jemand weiterhelfen?

...zum Beitrag

Java Rest API Request?

Hallo zusammen,

ich versuche momentan mit Java JSON Daten von einer Rest API zu bekommen. Es handelt sich um eine Rest API an die ich ein GET Request senden möchte. Ich habe schon einiges Probiert aber es hat nichts geklappt. Wie kann man also mit Java die Daten einer solchen API abfragen? Ich nutze Intellij IDEA Community Edition und habe die API schon mit Postman ausprobiert, da geht es.

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen