我是一个母胎solo的攻城狮。和大部分地铁低头族一样，漫长的通勤时间内除了玄幻小说和短视频，能陪伴我的还有各种小程序游戏。

9月的一天，一个叫“羊了个羊”的游戏突然冒了出来，据说连学霸都沉迷于此难以自拔，所以我也在下班路上点开了游戏。

在好奇心和疑惑的驱使下我刷第一关用时15秒，我心想，这不就是消消乐吗，以我的智商加上多年的游戏经验，一个消消乐也能难得住我？于是我在第二关刷到了睡觉前……

像这种无聊的游戏，我都懒得认真玩，于是第二天下班后我又刷到了睡觉前，然后是第三天。。。

“原来是个没有灵根的贵物……”我承认我已经快被这句广告词整emo了

然而我还滞留在第二关。如果说我花了三个晚上数羊，那么至少有三分之一的时间在看一个30秒的广告。

也许消消乐真的不适合我，但这些广告激起了我扭曲的好胜心，所以我果断地关掉游戏，打开了我的网络测试工具。是的，我放弃了，作为一名安全攻城狮，我要用自己的方式来数羊！

9月20日晚，有风，微凉

我要看看到底有多少人在数羊，为此我找到了一个API接口 /sheep/**/**/user_info?uid=xxxx，是的，这个接口可以查看用户，甚至能看到每个用户加入游戏的时间，还有微信OpenID。

通常uid需要和一个叫做token的数据对应起来才能正常使用，但我发现羊羊的token可以被重复利用，于是我遍历到了它的用户数……

是的，你没有看错，2.8亿！截止到9月20日，已经有2.8亿个微信用户在数羊了，难怪这游戏的每日流水都能上百万。我佛了。。。

让我看看还能干点啥，于是我又找到一个API接口，/sheep/**/**/user_rank_info，这个接口貌似可以看到每个用户的昵称、头像，还有地区，于是我发现了一堆奇怪的头像……emm，我是不是也该换个头像了，也许头像是我依然单身的直接原因。

9月21日晚，大风，很冷

周围的同事都在热议显摆自己的成绩，我不屑的笑了。我只想对他们说，哥已经看淡了，你们这些凡人。

但是我还在第二关，所以为什么别人能够通关99999次，我不是很理解，也不能忍。

于是我再次打开了我的工具，/sheep/**/**/game_over，我又发现了一个接口，一个……可以无限次刷补羊次数的接口，当然前提是要先通关。

你问我怎么做到的？token啊，只要带上自己的token反复请求就行。昨天我已经说过了，羊羊的token可以被重复利用，划重点——此处是一个callback……

9月22日晚，有风，不冷

我正在对着羊发呆，我发现自己也沉迷其中无法自拔了。跟大家的症状不同，别人是对着超市里的玉米酸奶和刷子发呆。

而我，对着我的工具发呆。是的，我又发现了一些“东东”……羊羊使用的token字段是jwt格式，jwt格式是什么不重要，但攻击者可以通过修改算法为none或者操控kid值来实现控制secretkey从而伪造任意token，这种攻击不好防御并且羊羊很可能存在这样的风险……

好吧，这些是什么意思其实都不重要，重点是也许我可以通过一些操作来绕过token的校验，换句话说就是可以尝试更加危险的操作。

所以我再次emo了，这不是我的本意。但作为一个技术控，我还是很难说服自己。现在的我需要一个帮手可以压制我猎奇的欲望，这时我想到了RayAPI，一个可以防止各种API攻击的系统，我把它串联在我的网络和“羊”之间，然后尝试我之前发现的各种骚操作，发现它们都被成功的拦截了！！

API安全防护系统（RayAPI）

• 防扫号（水平越权攻击防护）

• 防刷分（API异常调用防护）

• 防攻击（Token攻击防护）

我长出了一口气，终于可以放心使用API了。

（截止到笔者发稿前，上述小游戏的安全问题也已经修复了很多，此处还是忍不住给程序猿同学点赞！）

现在我已经不再数羊了，但人的猎奇欲望难以控制，正如攻击者的攻击意图难以杜绝，而接口的漏洞风险也无法百分之百避免一样。

没有绝对的安全。多数情况下，我们需要专业的安全产品来做好防护，RayAPI就是这样一款让人放心的API安全防护产品。感兴趣的同学，可以拨打盛邦安全产品咨询热线：4006-911-199

好了，我要回归平静的搬砖生活了，下次咱们再继续聊一些有趣的话题。

原文链接