定义

API重放攻击(Replay Attacks)又称重播攻击、回放攻击,这种攻击会不断恶意或欺诈性地重复一个有效的API请求。攻击者利用网络监听或者其他方式盗取API请求,进行一定的处理后,再把它重新发给认证服务器,是黑客常用的攻击方式之一。

工作原理

重放攻击的示意图如下所示:

从上面的示意图中我们可以知道,一般的重放攻击主要有下面几个步骤

  1. 浏览器和服务器进行身份认证之后使用接口请求正常通信
  2. 黑客通过非法手段窃听了浏览器和服务器的会话,获取了比如身份认证信息,API接口以及对应的参数
  3. 黑客获取窃听的数据之后进行了一定的处理再冒充浏览器重新发送请求给服务器

危害

  1. 用户被多次消费(下单动作,支付动作)
  2. 用户登录态被盗取(登陆的请求被抓住,被攻击者再次发送,相当于攻击者拥有了登录态)
  3. 多次抽奖/刷票/抢票

防御对策

时间戳验证

请求即便被抓住,再次被发送的时候会有时间差。比如浏览器向服务器发送请求时,会在消息中添加当前的时间戳,而服务器也只会接受时间戳在合理范围内的请求。
当然对应的缺点就是,如果重放攻击执行的足够快(请求还在“合理”的时间内),那也是可以成功的

一次性密码(number once)

只有一次,类似token。一串唯一的只能用一次的字符串。再次用这个number的话那就无效

其他

  1. 使用HTTPS可以防止明文数据被监听。但是却防止不了重放攻击。
  2. 使用签名之后可以验证请求者的身份,但也防止不了重放攻击,攻击者截获请求后,不对请求进行任何调整。直接使用截获的内容重新高频率发送请求。

参考文档

重放攻击
阿里云-重放攻击预防

网络安全-重放攻击(Replay Attack)相关推荐

  1. 登录重放攻击_什么是重放攻击Replay attack

    重放(Replay)也称为重播.回放,即某个消息或数据原封不动的重新发送给接收方一次,而接收方会接受这消息或数据,当这个动作是成立时,表示接收方无法有效辨识该数据是已经收过,这将会是重放漏洞. 重放攻 ...

  2. 重放攻击(Replay Attacks)(高风险)

    认证重放攻击(高风险) 风险级别: 高风险 风险描述: 攻击者发送一个目标主机已经接收的数据包,特别是在认证过程中,用于认证用户身份时: 风险分析: 攻击者可以使用重放攻击方式伪装成用户,冒充用户身份 ...

  3. 重放攻击(Replay Attacks)

    重放攻击(Replay Attacks) 1.什么是重放攻击 顾名思义,重复的会话请求就是重放攻击. 可能是因为用户重复发起请求,也可能是因为请求被攻击者获取,然后重新发给服务器. 2.重放攻击的危害 ...

  4. 2017年上半年信息安全工程师上午选择题及解析

    ●分析者能够选择密文并获得相应明文的攻击密码的类型属于(  ). A.仅知密文攻击B.选择密文攻击型C.已知密文攻击D.选择明文攻击 参考答案:B 试题解析:攻击密码的类型及攻击者可拥有的攻击资源如下 ...

  5. Security+ 学习笔记44 网络攻击

    一.拒绝服务攻击(Denial of service attacks) CIA三要素描述了信息安全的三个目标,即保密性.完整性和可用性.攻击者使用的大多数攻击技术都集中在破坏数据的保密性或完整性上. ...

  6. 区块链课程笔记-第一课哈希算法在加密中的应用

    哈希密码,哈希碰撞的含义,即我们有一个值x经过哈希变换得到y. 输出y是有限的,2的256次幂,但是输入x是无限的.输入值的一点点变动,输出的值都会变动.但是如果输入不同的值,而得到了相同的值,那么就 ...

  7. Restful HMAC认证

    我们在设计REST(Representational State Transfer)风格的Web service API,有一个问题经常要考虑,就是如何设计用户认证的体系(Authentication ...

  8. 11、安全网络架构和保护网络组件

    目录 11.1 OSI模型 11.1.1 OSI模型的历史 11.1.3 封装/解封 11.1.4 OSI模型层次 1.物理层 2.数据链路层 3.网络层 4.传输层 5.会话层 6.表示层 7.应用 ...

  9. CISP——密码学基本概念(术语)

    密码学 研究信息系统安全保密的科学.由两个相互对立.相互斗争,而且又相辅相成.相互促进的分支科学所组成的,分别称为密码编码学CCryptography)和密码分析学(Cryptanalysis) 注: ...

最新文章

  1. android rectF
  2. python语法大全-python基本语法
  3. [Windows]ping itsafe环境变量
  4. UIView 学习知识点
  5. PostgreSQL 行变列的小应用
  6. java 获取classpath下文件多种方式
  7. 保持windows2003域控制器的安全
  8. java thread join()_Java中Thread.join()的使用方法
  9. MonoRail - 生命周期及controller/action/view详解(转)
  10. 表格用计算机做成横版的WPS,WPS表格怎么将表格横过来图文教程
  11. 詹姆斯麦迪逊大学计算机专业,詹姆斯麦迪逊大学简介_詹姆斯麦迪逊大学介绍_詹姆斯麦迪逊大学James Madison University (JMU)...
  12. (一百五十一)Android P 真正创建sta iface的地方
  13. 已知圆的半径radius= 1.5,求其面积
  14. 六大危害不容忽视 笔记本外接显示器杂谈
  15. 人到中年,没事多休息,有空多赚钱!
  16. 快乐总动员 幸福你我他——龙营华夏第五届届亲子运动会
  17. 傲视天地 页游 一键端 自玩
  18. 中国电子实验记录(ELN)系统行业研究报告(2022版)
  19. electron+vue3全家桶+vite项目搭建【九】集成vite-plugin-mock-server 模拟后端请求
  20. Windows Live Essential 2011 Silent Install

热门文章

  1. 后渗透篇:COM劫持及加载技术
  2. kubernetes 降本增效标准指南| 容器化计算资源利用率现象剖析
  3. 知道这些,让你在使用Prism 8 时更加得心应手!
  4. java 汉字转拼音原理_java 汉字转拼音
  5. Android ScrollView、NestedScrollView、Horizo​​ntalScrollView 等
  6. FFMpeg AVPacket 之理解与掌握
  7. 画动漫人物眼睛怎么上色
  8. 机器学习从蛋白序列预测蛋白分类(二)
  9. INTERVAL函数的使用
  10. vector访问失效的问题