初级web api的设计(二)——防重放攻击
来源:互联网 发布:n9软件下载 编辑:程序博客网 时间:2024/05/29 17:58
在针对数据系统的攻击中,重放攻击是最常见的攻击方式,API的设计中需要特别考虑设计好如何防范重放攻击。
重放攻击(Replay Attacks)
指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击。
防重放攻击中,最重要的手段是给消息打上一个唯一、不可以重新生成的编号,保证这个编号只能使用一次。
一、利用timestamp。
在参数中加入timestamp=xxxxx. 并且加入到签名中签名的方法。
http://request_url/request_string×tamp=xxxx&sign=xxxxx
当服务器接收到请求之后,会首先检查签名是否有效,如果有效,则对比时间戳是否在一定时间内,比如60s(需要对服务器和客户端时间进行全局同步),则请求有效,否则请求过期。
这种方法可以将重放攻击的可能时间缩短到设定的时间段(60s),但是在60s之内,还是不能杜绝重放攻击。需要进行升级修改。
二、利用timestamp+nonce
在加入timestamp的同时,客户端生成一个随机数rand
,而后生成一个参数nonce = md5(timestamp+rand)
,放入到请求串中。
//请求的参数http://request_url?request_string&nonce=xxx&timstamp=xxxx
服务器在接收到请求后,首先进行签名验证,然后缓存(如redis)中检查,这个nonce是否存在,如果不存在,则建立这个key,设置失效时间为timestamp的有效时间(60s),验证通过;如果存在,则这个nonce已经被使用过了,则判定为重放攻击。
server伪代码如下:
if(check_sign()){ if(mem_exits(nonce)) return false; else{ mem_add(nonce, 60s); return true; } }else{return false;}
三、安全分析
算法二中,由于使用了签名机制,可以保证参数不被更改,并且攻击者不能构造出合法的请求串和对应的签名。nonce的生成是取决于客户端的时间戳和随机数,在失效时间内,客户端生成两个同样的nonce(相同的timestamp和相同的随机数)属于小概率时间,基本不可能发生,所以算法二在防重放攻击上是安全的。
- 初级web api的设计(二)——防重放攻击
- 说说API的防重放机制
- API防重放机制
- 初级web api的设计(一)
- 客户端防重放设计
- 实现客户端和服务器双向的防重放攻击
- HTTPS入门及如何防重放攻击
- Web服务的重放攻击的一点想法
- 重放攻击的概念简介
- 关于重放攻击的知识点
- 重放攻击(Replay Attacks)
- 重放攻击
- 重放攻击
- 重放攻击
- 重放攻击
- 重放攻击
- 重放攻击
- 重放攻击
- annotation-@RequestBody-接收前端传来的json
- 关于onclick = “函数()”中不能调用window.onload = function(){}中调用function 函数(){}
- pandas---Series基础使用
- 注释转换
- 统计学习方法(第三章)k近邻算法
- 初级web api的设计(二)——防重放攻击
- 神经网络 tensorflow教程 2.2 下载MNIST 数据集 (自动版)
- 统计学习方法总结、应用对比
- 《Android学习笔记》利用Application操作全局变量
- 计算一下pytorch中Resnet34模型前传一次所需要的时间
- tf.reshape()的用法与理解
- 写出程序的输出结果
- Java正则表达式
- Warning:The `android.dexOptions.incremental` property is deprecated and it has no effect on the buil