什么是重放攻擊？重放攻擊(Replay Attacks)又稱重播攻擊、回放攻擊，是指攻擊者發(fā)送一個(gè)目的主機(jī)已接收過的包，來達(dá)到欺騙系統(tǒng)的目的，主要用于身份認(rèn)證過程，破壞認(rèn)證的正確性。重放攻擊可以由發(fā)起

什么是重放攻擊？

重放攻擊(Replay Attacks)又稱重播攻擊、回放攻擊，是指攻擊者發(fā)送一個(gè)目的主機(jī)已接收過的包，來達(dá)到欺騙系統(tǒng)的目的，主要用于身份認(rèn)證過程，破壞認(rèn)證的正確性。重放攻擊可以由發(fā)起者，也可以由攔截并重發(fā)該數(shù)據(jù)的敵方進(jìn)行。 拒絕服務(wù)指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無法再處理合法用戶的請(qǐng)求。

HTTPS如何防止重放攻擊？

客戶端拼接字符串規(guī)則如下：

接口 參數(shù) 時(shí)間戳 secretID（如果不是做對(duì)外開放性的API，是內(nèi)部產(chǎn)品調(diào)用的話那么secretID可以是寫死的一個(gè)ID值）

將以上字符串用對(duì)稱加密，作為一個(gè)sign參數(shù)，請(qǐng)求服務(wù)端。

比如接口，login，參數(shù)有 name、password、加密后的sign

服務(wù)端接收到請(qǐng)求后，用對(duì)稱解密sign，得到secretID，核對(duì)值是否正確，那么說明請(qǐng)求方是可信任的。返回接口結(jié)果，并把sign記錄到redis。

下次接收到同樣請(qǐng)求時(shí)發(fā)現(xiàn)redis已經(jīng)有對(duì)應(yīng)的sign值說明是接口重放，不予以正常相應(yīng)。因?yàn)檎Ｓ脩粽{(diào)用接口時(shí)間戳應(yīng)該是改變的不可能產(chǎn)生同樣的sign值。

如果發(fā)現(xiàn)sign解釋出來的secretID是系統(tǒng)不存在的，那么說明請(qǐng)求方在偽造請(qǐng)求。不予以正常相應(yīng)。

Web前端密碼加密是否有意義？

首先，我們要記住：在網(wǎng)絡(luò)中任何場(chǎng)景下的加密都是有意義的！前端針對(duì)密碼的加密同樣如此。

我們要知道，HTTP協(xié)議有兩個(gè)特性：

• 無狀態(tài)
  

• 信息在網(wǎng)絡(luò)傳輸過程中是透明的

HTTP協(xié)議不像HTTPS協(xié)議，HTTP協(xié)議中所有信息都是明文的，此時(shí)如果在傳輸過程中被攔載，像密碼啥的黑客一看，就知道了。

所以很多站點(diǎn)在沒有啟用HTTPS時(shí)，也會(huì)對(duì)前端的密碼做加密處理，比如騰訊QQ空間的帳號(hào)密碼登錄、還有其它網(wǎng)站，當(dāng)我們?cè)谳斎朊艽a時(shí)，提交表單后，經(jīng)常會(huì)看到密碼框里的密碼長度一下子就變長了，其實(shí)就是在我們提交表單時(shí)，前端對(duì)密碼做了加密處理再賦值給密碼字段，所以表象上看就是密碼框里的黑點(diǎn)點(diǎn)變多了。

當(dāng)在前端對(duì)密碼做了加密處理，此時(shí)即使信息在傳輸過程中被竊取，第三方看到的是加密后的密碼，他把這個(gè)密碼拿去是沒用的，因?yàn)檫@個(gè)加密串是有時(shí)間和其它一些特征的，在其它電腦/IP上提交服務(wù)端是驗(yàn)證不通過的。

最后，就算是WEB前端密碼加密，不能簡(jiǎn)簡(jiǎn)單單用MD5對(duì)密碼進(jìn)行加密，必須要加一些特征字符在里面，另外也要限制一下時(shí)效，防止加密后的密文一直有效。如果能用HTTPS協(xié)議請(qǐng)一定用HTTPS協(xié)議。

重放攻擊的定義是什么？

攻擊者截獲并記錄了從A到B的數(shù)據(jù)，然后又從早些時(shí)候所截獲的數(shù)據(jù)中提取出信息重新發(fā)往B。通過截取以前的合法記錄，重新加入一個(gè)連接，叫做重放攻擊。為防止這種情況，可以采用加入時(shí)間戳的辦法。