重放攻击,好生猛的家伙!
时间:2021-11-15 15:00:52
手机看文章
扫描二维码
随时随地手机看文章
[导读]1.小黑的烦恼大白和小黑是一对好工友,前阵子小黑跳槽到了一家做电商的头部互联网公司,目前还在试用期,整天战战兢兢搬砖,都累瘦了。前几天小黑因为一个接口安全问题,差点没过试用期,真是不容易呀。我们来看看是咋回事:原来小黑写的接口遇到了重放攻击,让我们一起来帮帮小黑吧!2.什么是重放...
1.小黑的烦恼
大白和小黑是一对好工友,前阵子小黑跳槽到了一家做电商的头部互联网公司,目前还在试用期,整天战战兢兢搬砖,都累瘦了。前几天小黑因为一个接口安全问题,差点没过试用期,真是不容易呀。我们来看看是咋回事:原来小黑写的接口遇到了重放攻击,让我们一起来帮帮小黑吧!2.什么是重放攻击
2.1 重放攻击的定义
重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个服务端已接收过的包,来达到欺骗系统的目的
,主要用于身份认证过程,破坏认证的正确性。
重放攻击可以由发起者
,也可以由拦截并重发该数据的敌方
进行,攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。
重放攻击在任何网络通信过程中都可能发生,是计算机世界黑客常用的攻击方式之一
。
这个定义我最开始读的时候没太理解,看了几遍才看懂,其实表达了三层意思:- 重放攻击就是攻击者把服务端收到过的数据包反复请求,由于是已经收到的合法包,如果服务端防范不当就可以顺利通过身份认证。
- 重放攻击的攻击者可以是合法的客户端,比如你的外部合作方搞错了循环了100次发相同的数据,还有一种是客户端和服务端交互时被窃取了,由中间人发起了攻击。
- 重放攻击很普遍,是一种常见的攻击防范,接口安全设计必须要考虑进去。
2.2小黑的设计方案
小黑设计的接口是为了接入外部数据,接入方比较多,数据推送量也比较大。小黑是这么设计的:- 每一个接入方分配唯一账号标记 data_from字段
- 每一个接入方分配唯一接入密钥 32位长的secret_key字段
- 接口中有几个必填字段,按照字典序排列生成字符串seg_str
data_from=abc