1.小黑的煩惱

大白和小黑是一對好工友，前陣子小黑跳槽到了一家做電商的頭部互聯(lián)網(wǎng)公司，目前還在試用期，整天戰(zhàn)戰(zhàn)兢兢搬磚，都累瘦了。

前幾天小黑因為一個接口安全問題，差點沒過試用期，真是不容易呀。

我們來看看是咋回事：

原來小黑寫的接口遇到了重放攻擊，讓我們一起來幫幫小黑吧！

2.什么是重放攻擊

2.1 重放攻擊的定義

重放攻擊(Replay Attacks)又稱重播攻擊、回放攻擊，是指攻擊者發(fā)送一個服務(wù)端已接收過的包，來達(dá)到欺騙系統(tǒng)的目的，主要用于身份認(rèn)證過程，破壞認(rèn)證的正確性。

重放攻擊可以由發(fā)起者，也可以由攔截并重發(fā)該數(shù)據(jù)的敵方進(jìn)行，攻擊者利用網(wǎng)絡(luò)監(jiān)聽或者其他方式盜取認(rèn)證憑據(jù)，之后再把它重新發(fā)給認(rèn)證服務(wù)器。

重放攻擊在任何網(wǎng)絡(luò)通信過程中都可能發(fā)生，是計算機(jī)世界黑客常用的攻擊方式之一。

這個定義我最開始讀的時候沒太理解，看了幾遍才看懂，其實表達(dá)了三層意思：

• 重放攻擊就是攻擊者把服務(wù)端收到過的數(shù)據(jù)包反復(fù)請求，由于是已經(jīng)收到的合法包，如果服務(wù)端防范不當(dāng)就可以順利通過身份認(rèn)證。

• 重放攻擊的攻擊者可以是合法的客戶端，比如你的外部合作方搞錯了循環(huán)了100次發(fā)相同的數(shù)據(jù)，還有一種是客戶端和服務(wù)端交互時被竊取了，由中間人發(fā)起了攻擊。

• 重放攻擊很普遍，是一種常見的攻擊防范，接口安全設(shè)計必須要考慮進(jìn)去。

了解重放攻擊概念之后，先看看小黑是如何設(shè)計接口的，再看問題在哪里以及解決方案是什么。

2.2小黑的設(shè)計方案

小黑設(shè)計的接口是為了接入外部數(shù)據(jù)，接入方比較多，數(shù)據(jù)推送量也比較大。

小黑是這么設(shè)計的：

• 每一個接入方分配唯一賬號標(biāo)記? data_from字段
• 每一個接入方分配唯一接入密鑰? 32位長的secret_key字段
• 接口中有幾個必填字段，按照字典序排列生成字符串seg_str

data_from=abc