Nội dung bài viết
Video học lập trình mỗi ngày
Nói qua một chút trước khi đi vào hai khái niệm Replay attack là gì? và Spoofing attack thì chúng ta cần hiểu các hệ thống bây giờ đều phân tách các nghiệp vụ client
và backend
. Sợi dây liên kết giữa chúng đó chính là api
.
Riêng về api
thì những ai đã làm lập trình thì ít nhất là phải biết khái niệm về nó, nhưng để bảo mật rest api thì có đến 95% các lập trình viên chưa hiểu hoàn toàn và thực hành được. Nếu như bạn rơi vào trường hợp 95% thì bài viết này sẽ là của bạn.
Video 2 cách ngăn chặn replay attacks API đối với HACKERS của kỹ sư cấp cao API
Nhưng trước tiên chúng ta hay đi phần định nghĩa của hai khái niệm thường sẽ được phỏng vấn khi bạn apply vào vị trí backend.
Replay attack là gì?
Replay attack là tấn công api theo kiểu gửi lại nguyên vẹn endpoint đã thực hiện trước đó bao gồm hacker và chính người dùng.
Trường hợp Replay attack api xảy ra đa số là những developers khác sẽ sử dụng tool console trong browser có chức năng replay xhr. Điều đó có nghĩa là hacker lắng nghe trộm những requests của user, và có thể dùng chính đó để chạy lại api cùng với các parameters
và sign
.
Spoofing attack là gì?
Spoofing attack là kiểu tấn công giả mạo chữ ký hay còn gọi là sign. Khiến hệ thống lầm tưởng là chính chủ gửi request.
Nếu bạn đã nghe câu chuyện Alibaba và 40 tên cướp. Thì bạn đã biết Alibaba đã nghe lén chữ ký chính là vừng ơi mở ra
. Mọi chuyện sau thì các bạn cũng đã rõ. Để rõ hơn thì Spoofing api có nghĩa là hacker lấy được những tham số trên request và sau đó sửa đổi để đánh lừa dân backend.
Như vậy chúng ta những người mang trọng trách build backend services thì sẽ có cách hay biện pháp nào phòng chống. Tiếp tục.
Các giải pháp chống lại Replay attack and spoofing
Để chống lại hai cách tấn công trên thì thường thì các devs sẽ sử dụng timestamp và nonce. Vậy Nonce là gì? Có vai trò gì trong chống Replay attack api và timestamp có quan trọng gì trong api thì bạn có thể tham khảo cách mà tôi đã trình bày trong video 2 cách ngăn chặn replay attacks API đối với HACKERS của kỹ sư cấp cao API
Thân ái và quyết thắng!