Question

13.1.1 测试原理和方法

在短信、邮件调用业务或生成业务数据环节中，如短信验证码、邮件验证码、订单生

成、评论提交等，对业务环节进行调用（重放）测试。如果业务经过调用（重放）后多次

生成有效的业务或数据结果，可判断为存在接口调用（重放）问题。

13.1.2 测试过程

如图 13-1 所示，在进行接口调用重放测试时，攻击者与普通用户的区别在于他会通过

工具（如 Burp Suite）抓取订单请求，然后在短时间内通过 Burp Suite 工具的 Repeater 对请

求（如订单请求）进行多次重放，服务器则会根据请求在短时间内执行多个有效操作（如

生成订单）。

测试过程以某购买机票系统为例。

步骤一：如图 13-2 所示，在购买机票“提交订单”环节抓取数据包。

图 13-1 接口调用重放测试流程图

图 13-2 提交订单

步骤二：如图 13-3 所示，使用 Burp Suite 工具对生成订单的数据包进行重放测试。

步骤三：如图 13-4 所示，查看返回结果，订单在 1 分钟内重复生成。

图 13-3 Burp Suite 抓取提交订单的请求

图 13-4 一分钟内生成重复订单

13.1.3 修复建议

（1）对生成订单环节采用验证码机制，防止生成数据业务被恶意调用。

（2）每一个订单使用唯一的 Token，订单提交一次后，Token 失效。