安全矩阵

 找回密码
 立即注册
搜索
查看: 5145|回复: 0

PHP安全:防止接口重放

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-10-19 18:53:16 | 显示全部楼层 |阅读模式
原文链接:PHP安全:防止接口重放

在接口调用业务或生成业务数据环节中(如短信验证码、邮件验证码、订单生成、评论提交等),对其业务环节进行多次调用测试。如果业务经过调用后多次生成有效的业务或数据结果,则称为重放。


重放攻击(Replay Attacks)又称重播攻击、回放攻击,这种攻击会不断恶意或欺诈性地重复一个有效的API请求。攻击者利用网络监听或者其他方式盗取API请求,进行一定的处理后,再把它重新发给认证服务器。这是攻击者常用的攻击方式。

1、使用时间戳

每次HTTP请求,将当前的时间戳保存在timestamp参数中,然后把时间戳和其他参数一起进行数字签名,发送到服务端。因为一次正常的HTTP请求,从发出到达服务器一般不会超过60秒,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间相差是否超过了60秒,如果超过则认为是非法的请求。

下面代码中展示的是使用时间戳签名。

<?php
$token="EwSdF3goEqWpeRxTRu";
$timestamp=time();
$sign=md5($userinfo.$token.$timestamp);
?>

下面代码中展示的是对时间戳的验证。

<?php
$token="EwSdF3goEqWpeRxTRu";
$timestamp=$_GET['timestamp'];
$nowTime=time();
if($nowTime-$timestamp>60) {
die("请求超时");
}
?>

一般情况下,攻击者抓包重放请求耗时远远超过60秒,所以此时请求中的timestamp参数已经失效。由于攻击者不知道Token,没有办法生成新的数字签名,如果攻击者修改timestamp参数为当前的时间戳,则sign参数对应的数字签名就会失效。如果在60秒之内进行重放攻击,那就没办法了,所以这种方式不能保证请求仅一次有效。

2、使用Nonce

Nonce是Number once的缩写,在密码学中Nonce是一个只被使用一次的任意或非重复的随机数值。

生成一个仅一次有效的随机字符串,要求每次请求时,该参数要保证唯一。例如可以使用客户端的IP地址,加上时间戳作为Nonce进行签名。

使用签名的代码如下。

<?php
$token="EwSdF3goEqWpeRxTRu";
$ip=gethostbyname($_SERVER['SERVER_NAME']);
$time=time();
$nonce=md5($ip.$time);
$sign=md5($userinfo.$token.$nonce);
?>

将每次请求的Nonce参数存储到一个“集合”中,如可以存储在Redis的集合中。每次处理HTTP请求时,首先判断该请求的Nonce参数是否在该“集合”中,如果存在则认为是非法请求。

验证签名的代码如下。

<?php
$token="EwSdF3goEqWpeRxTRu";
$nonce=$_GET['nonce'];
$nonceList=$redis->sget("nonceList");
if(in_array($nonce,$nonceList)) {
die("请求仅一次有效");
}
?>

Nonce参数在首次请求时,已经被存储到“集合”中,再次发送请求会被识别并被拒绝。Nonce参数作为数字签名的一部分,是无法篡改的,因为攻击者不清楚Token,所以不能生成新的sign。

当然,这种方式也有很大的问题,那就是存储Nonce参数的“集合”会越来越大,验证Nonce是否存在于“集合”的耗时就会越来越长。为了不让Nonce“集合”走向“无限大”,需要定期清理该“集合”,但是一旦该“集合”被清理,就无法验证被清理了的Nonce参数。也就是说,假设该“集合”平均一天清理一次,抓取到的该URL,虽然当时无法进行重放攻击,但是还是可以每隔一天进行一次重放攻击的。而且存储24小时内,所有请求的Nonce参数,也将会是一笔不小的开销。

3、同时使用时间戳和Nonce

通常同时使用时间戳和Nonce来防止重放。

Nonce的一次性可以解决timestamp参数60秒的问题,时间戳可以解决Nonce参数“集合”越来越大的问题。在时间戳方案的基础上,加上Nonce参数,是因为timstamp参数对于超过60秒的请求都认为非法请求,所以只需要存储60秒的Nonce参数的“集合”即可。

同时使用时间戳和签名的代码如下。

<?php
$token="EwSdF3goEqWpeRxTRu";
$ip=gethostbyname($_SERVER['SERVER_NAME']);
$time=time();
$nonce=md5($ip.$time);
$sign=md5($userinfo.$token.$nonce.$timestamp);
?>

验证参数防止重放的代码如下。

<?php
$token="EwSdF3goEqWpeRxTRu";
$userInfo=$_GET['userInfo'];
$timestamp=$_GET['timestamp'];
$nonce=$_GET['nonce'];
$sign=$_GET['sign'];
$nowTime=time();
$nonceList=$redis->sget("nonceList");
// 设置集合的失效时间60秒
if(empty($nonceList)) {
$redis->explre("nonceList",60);
}
// 判断时间戳参数是否有效
if($nowTime-$timestamp>60) {
die("请求超时");
}
// 判断Nonce参数是否在“集合”已存在
if(in_array($nonce,$nonceList)) {
die("请求仅一次有效");
}
// 验证数字签名
if($sign!=md5($userInfo.$token.$nonce.$timestamp)) {
die("数字签名验证失败");
}
// 记录本次请求的Nonce参数
$redis->sadd("nonceList",$nonce);
?>

如果在60秒内重放该HTTP请求,因为Nonce参数已经在首次请求时被记录在服务器的Nonce“集合”中,所以会被判断为非法请求。超过60秒之后,timestamp参数就会失效。

在60秒之内的重放攻击可以由Nonce参数保证,超过60秒的重放攻击可以由timestamp参数保证。Nonce参数只会在60秒之内起作用,所以只需要保存60秒之内的Nonce参数即可。并不一定要每个60秒去清理该Nonce参数的集合,只需要在新的Nonce到来时,判断Nonce集合最后一次修改时间,超过60秒,就清空该集合,存放新的Nonce参数集合。其实Nonce参数集合可以存放得时间更久一些,但是最少是60秒。

2018年10月8日,谷歌公司在官方博客中主动公布,曾发现Google+的一个API(应用程序界面)存在漏洞,外部开发者可利用此漏洞获得Google+用户的个人信息及其好友的公开信息。

谷歌公司宣布上述漏洞已导致最多50万名用户的数据可能暴露给了外部开发者,包括姓名、电子邮箱、职业、性别、年龄和感情状态等。加上Google+使用率比较低,谷歌公司宣布于2019年8月末关闭面向消费者的Google+。



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 08:30 , Processed in 0.013818 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表