内容来源(公众号:PHP版WEB项目)在接口调用业务或生成业务数据环节中(如短信验证码、邮件验证码、订单生成、评论提交等),对其业务环节进行多次调用测试。如果业务经过调用后多次生成有效的业务或数据结果,则称为重放。
重放攻击(Replay Attacks)又称重播攻击、回放攻击,这种攻击会不断恶意或欺诈性地重复一个有效的API请求。攻击者利用网络监听或者其他方式盗取API请求,进行一定的处理后,再把它重新发给认证服务器。这是攻击者常用的攻击方式。
1 使用时间戳
每次HTTP请求,将当前的时间戳[1]保存在timestamp参数中,然后把时间戳和其他参数一起进行数字签名,发送到服务端。因为一次正常的HTTP请求,从发出到达服务器一般不会超过60秒,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间相差是否超过了60秒,如果超过则认为是非法的请求。
下面代码中展示的是使用时间戳签名。
<?php$token="EwSdF3goEqWpeRxTRu"; $timestamp=time(); $sign=md5($userinfo.$token.$timestamp);
下面代码中展示的是对时间戳的验证。
<?php$token="EwSdF3goEqWpeRxTRu";$timestamp=$_GET['timestamp']; $nowTime=time();if( $nowTime - $timestamp >60){die("请求超时"); }
一般情况下,攻击者抓包重放请求耗时远远超过60秒,所以此时请求中的timestamp参数已经失效。由于攻击者不知道Token,没有办法生成新的数字签名,如果攻击者修改timestamp参数为当前的时间戳,则sign参数对应的数字签名就会失效。如果在60秒之内进行重放攻击,那就没办法了,所以这种方式不能保证请求仅一次有效。
2 使用Nonce
正如前文所述,Nonce是Number once的缩写,在密码学中Nonce是一个只被使用一次的任意或非重复的随机数值。
生成一个仅一次有效的随机字符串,要求每次请求时,该参数要保证唯一。例如可以使用客户端的IP地址,加上时间戳作为Nonce进行签名。
使用签名的代码如下。
<?php$token="EwSdF3goEqWpeRxTRu";$ip=gethostbyname($_SERVER['SERVER_NAME']);$time=time(); $nonce=md5($ip.$time); $sign=md5($userinfo.$token.$nonce);
将每次请求的Nonce参数存储到一个“集合”中,如可以存储在Redis的集合中。每次处理HTTP请求时,首先判断该请求的Nonce参数是否在该“集合”中,如果存在则认为是非法请求。
验证签名的代码如下。
<?php$token="EwSdF3goEqWpeRxTRu";$nonce=$_GET['nonce'];$nonceList=$redis->sget("nonceList");if( in_array($nonce,$nonceList) ){die("请求仅一次有效"); }
Nonce参数在首次请求时,已经被存储到“集合”中,再次发送请求会被识别并被拒绝。Nonce参数作为数字签名的一部分,是无法篡改的,因为攻击者不清楚Token,所以不能生成新的sign。
当然,这种方式也有很大的问题,那就是存储Nonce参数的“集合”会越来越大,验证Nonce是否存在于“集合”的耗时就会越来越长。为了不让Nonce“集合”走向“无限大”,需要定期清理该“集合”,但是一旦该“集合”被清理,就无法验证被清理了的Nonce参数。也就是说,假设该“集合”平均一天清理一次,抓取到的该URL,虽然当时无法进行重放攻击,但是还是可以每隔一天进行一次重放攻击的。而且存储24小时内,所有请求的Nonce参数,也将会是一笔不小的开销。
3 同时使用时间戳和Nonce
通常同时使用时间戳和Nonce来防止重放。Nonce的一次性可以解决timestamp参数60秒的问题,时间戳可以解决Nonce参数“集合”越来越大的问题。在时间戳方案的基础上,加上Nonce参数,是因为timstamp参数对于超过60秒的请求都认为非法请求,所以只需要存储60秒的Nonce参数的“集合”即可。
同时使用时间戳和签名的代码如下。
<?php$token="EwSdF3goEqWpeRxTRu";$ip=gethostbyname($_SERVER['SERVER_NAME']);$time=time(); $nonce=md5($ip.$time);$timestamp=time(); $sign=md5($userinfo.$token.$nonce.$timestamp);
验证参数防止重放的代码如下。
<?php$token="EwSdF3goEqWpeRxTRu";$userInfo= $_GET['userInfo'];$timestamp = $_GET['timestamp'];$nonce = $_GET['nonce'];$sign = $_GET['sign']; $nowTime=time();$nonceList=$redis->sget("nonceList");//设置集合的失效时间60秒if(empty($nonceList)){$redis->explre("nonceList",60); }//判断时间戳参数是否有效if( $nowTime - $timestamp>60){die("请求超时"); }//判断Nonce参数是否在“集合”已存在if( in_array($nonce,$nonceList) ){die("请求仅一次有效"); }//验证数字签名if( $sign != md5($userInfo.$token.$nonce.$timestamp) ){die("数字签名验证失败"); }//记录本次请求的Nonce参数$redis->sadd("nonceList", $nonce);
如果在60秒内重放该HTTP请求,因为Nonce参数已经在首次请求时被记录在服务器的Nonce“集合”中,所以会被判断为非法请求。超过60秒之后,timestamp参数就会失效。
在60秒之内的重放攻击可以由Nonce参数保证,超过60秒的重放攻击可以由timestamp参数保证。Nonce参数只会在60秒之内起作用,所以只需要保存60秒之内的Nonce参数即可。并不一定要每个60秒去清理该Nonce参数的集合,只需要在新的Nonce到来时,判断Nonce集合最后一次修改时间,超过60秒,就清空该集合,存放新的Nonce参数集合。其实Nonce参数集合可以存放得时间更久一些,但是最少是60秒。
网友评论