APP渗透测试 重放攻击

本套课程在线学习（网盘地址，保存即可免费观看）地址：

扫描二维码免费下载观看

链接：https://pan.quark.cn/s/427c92d764c4

00:01 - 安卓业务安全测试：重放攻击详解

本次安卓业务安全测试系列课程聚焦于重放攻击的原理及实践。通过讲解重放攻击背后的简单原理，探讨如何利用这一技术绕过前端或后端的验证，以实现如抽奖次数限制的规避或非法登录等行为。重放攻击通常涉及攻击者向目标主机发送之前已被接收过的数据包，以此欺骗系统，达到欺骗性目的。

02:13 - 用PHP实现抽SSR页面后端接口及前端交互

本次讨论围绕使用PHP编写后端接口以实现抽SSR页面的功能，其中限制每人每天只有三次抽取机会。后端接口返回JSON格式的数据，包含抽到的奖项类型，奖项从预定义的11类中随机抽取。前端页面包括一个按钮，点击时会减少剩余次数并发送GET请求到后端接口，获取抽到的奖项并展示给用户。此外，讨论中还提到了确保后端返回的数据格式为JSON的重要性以及前端如何处理请求和展示结果。

13:10 - 编写前端按钮点击事件及GET请求逻辑

讨论了如何编写一个前端按钮点击事件，包括获取按钮ID、执行函数、获取剩余次数、判断条件、执行相应操作以及更新剩余次数。同时，还涉及了发送GET请求、处理接口响应、获取数据值的过程，并指出前端认证存在的漏洞及重放攻击的可能性。

21:40 - 代码逻辑梳理与数据库功能拓展

对话围绕一个按钮点击事件的代码逻辑展开，详细描述了点击事件触发后，如何获取并判断数字变量，以及如何通过GET请求与服务器交互。进一步讨论了如何通过数据库增加功能，如每次抽取SSR时在数据库中增加计数，达到一定次数后可兑换礼物，以此展示了如何利用数据库进行更复杂的功能实现和潜在的攻击防范。最后，提到了对PHP接口进行的功能拓展，包括与新建数据库的交互，以及如何在表中存储和更新SSR的计数。

27:52 - 利用MySQL进行数据库操作和重放攻击演示

通过使用MySQL连接数据库，对话详细讲解了如何执行SQL查询和更新操作，特别是针对数据库中的抽奖功能进行了详细说明。讨论了如何在前端显示用户数据，以及如何处理抽奖次数限制和SSR（稀有奖励）的统计。此外，还提到了如何通过重放攻击方式对抽奖功能进行爆破测试，以此来评估和改进系统的安全性和性能。最终，建议听众完善这个游戏，增加防止重放攻击的功能，并加入更多交互元素来提升用户体验。

该内容转载自网络，仅供学习交流，勿作他用，如有侵权请联系删除。

https://pan.quark.cn/s/8c91ccb5a474