当前位置:首页 > 公众号精选 > 小林coding
[导读]1.小黑的烦恼大白和小黑是一对好工友,前阵子小黑跳槽到了一家做电商的头部互联网公司,目前还在试用期,整天战战兢兢搬砖,都累瘦了。前几天小黑因为一个接口安全问题,差点没过试用期,真是不容易呀。我们来看看是咋回事:原来小黑写的接口遇到了重放攻击,让我们一起来帮帮小黑吧!2.什么是重放...

1.小黑的烦恼

大白和小黑是一对好工友,前阵子小黑跳槽到了一家做电商的头部互联网公司,目前还在试用期,整天战战兢兢搬砖,都累瘦了。

前几天小黑因为一个接口安全问题,差点没过试用期,真是不容易呀。

我们来看看是咋回事:

原来小黑写的接口遇到了重放攻击,让我们一起来帮帮小黑吧!

2.什么是重放攻击

2.1 重放攻击的定义

重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个服务端已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。

重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行,攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。

重放攻击在任何网络通信过程中都可能发生,是计算机世界黑客常用的攻击方式之一

这个定义我最开始读的时候没太理解,看了几遍才看懂,其实表达了三层意思:

  • 重放攻击就是攻击者把服务端收到过的数据包反复请求,由于是已经收到的合法包,如果服务端防范不当就可以顺利通过身份认证。

  • 重放攻击的攻击者可以是合法的客户端,比如你的外部合作方搞错了循环了100次发相同的数据,还有一种是客户端和服务端交互时被窃取了,由中间人发起了攻击。

  • 重放攻击很普遍,是一种常见的攻击防范,接口安全设计必须要考虑进去。

了解重放攻击概念之后,先看看小黑是如何设计接口的,再看问题在哪里以及解决方案是什么。

2.2小黑的设计方案

小黑设计的接口是为了接入外部数据,接入方比较多,数据推送量也比较大。

小黑是这么设计的:

  • 每一个接入方分配唯一账号标记  data_from字段
  • 每一个接入方分配唯一接入密钥  32位长的secret_key字段
  • 接口中有几个必填字段,按照字典序排列生成字符串seg_str
data_from=abc
本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
关闭
关闭