数据安全(反爬虫)之「防重放」策略

最新推荐文章于 2024-05-09 21:31:29 发布
最新推荐文章于 2024-05-09 21:31:29 发布
阅读量920 收藏 2
点赞数
文章标签: 前端 web安全 java 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Candour_0/article/details/129134780
版权

数据安全(反爬虫)之「防重放」策略

大前端时代的安全性一文中讲了 Web 前端和 Native 客户端如何从数据安全层面做反爬虫策略,本文接着之前的背景,将从 API 数据接口的层面讲一种技术方案,实现数据安全。

一、 API 接口请求安全性问题

API 接口存在很多常见的安全性问题,常见的有下面几种情况

1.即使采用 HTTPS,诸如 Charles、Wireshark 之类的专业抓包工具可以扮演证书颁发、校验的角色,因此可以查看到数据
2.拿到请求信息后原封不动的发起第二个请求,在服务器上生产了部分脏数据(接口是背后的逻辑是对 DB 的数据插入、删除等)

所以针对上述的问题也有一些解决方案:

1.HTTPS 证书的双向认证解决抓包工具问题
2.假如通过网络层高手截获了 HTTPS 加证书认证后的数据,所以需要对请求参数做签名
3.「防重放策略」解决请求的多次发起问题
4.请求参数和返回内容做额外 RSA 加密处理,即使截获,也无法查看到明文。

关于 HTTPS 证书双向认证和 Web 端反爬虫技术方案均在大前端时代的安全性一文中有具体讲解。接下来引出本文主角:防重放

二、 请求参数防篡改

在之前的文章也讲过,HTTPS 依旧可以被抓包,造成安全问题。抓包工具下数据依旧是裸奔的,可以查看Charles 从入门到精通文中讲的如何获取 HTTPS 数据。

假如通过网络层高手截获了 HTTPS 加证书认证后的数据

最低0.47元/天 解锁文章
网络安全大菠萝
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防重、防篡改攻击的实现(Java版)
Mango的博客
12-14 4357
防重、防篡改攻击的实现(Java版)
网络攻击之防重篇~
weixin_42806958的博客
07-21 8081
百度百科介绍 重攻击(Replay Attacks)又称重播攻击、回攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。重攻击在任何网络通过程中都可能发生,是计算机世界黑客常用的攻击方式之一。 核心概念 1. 防重的核心在于,防止黑客抓取请求报文,从而进行重播攻击,也就意味我们不能允许客户端,用相同参数,请求第二次
2024年最新面试官:你觉得HTTPS能防止重攻击吗?(1),java面试常问题
最新发布
2401_84007015的博客
05-09 254
无论是哪家公司,都很重视基础,大厂更加重视技术的深度和广度,面试是一个双向选择的过程,不要抱着畏惧的心态去面试,不利于自己的发挥。同时看中的应该不止薪资,还要看你是不是真的喜欢这家公司,是不是能真的得到锻炼。针对以上面试技术点,我在这里也做一些分享,希望能更好的帮助到大家。本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取。
如何保证接口安全,做到防篡改防重
Javatutouhouduan的博客
04-06 4278
对于互联网来说,只要你系统的接口暴露在外网,就避免不了接口安全问题。如果你的接口在外网裸奔,只要让黑客知道接口的地址和参数就可以调用,那简直就是灾难。 举个例子:你的网站用户注册的时候,需要填写手机号,发送手机验证码,如果这个发送验证码的接口没有经过特殊安全处理,那这个短信接口早就被人盗刷不知道浪费多少钱了。 那如何保证接口安全呢?
业务安全爬虫实践.rar
03-04
在IT行业中,业务安全是确保在线服务免受恶意攻击和滥用的关键组成部分,而爬虫实践则是业务安全的重要环节。爬虫技术虽然在数据采集、市场分析等方面有其合法用途,但滥用则可能导致网站资源被过度消耗,影响正常...
Python爬虫机制的主要策略
08-23
Python爬虫机制是随着网络爬虫的发展而逐渐兴起的,它主要是为了保护网站资源的安全和正常运营。本文将介绍一些常见的Python爬虫技术,并提供一些对策和建议。 首先,User-Agent是HTTP请求头中的一个字段,用来...
python解决网站的爬虫策略总结
09-21
Python 在网络爬虫领域的应用广泛,但随着网站爬虫技术的发展,爬虫开发者需要采取一系列策略来应对。本文主要探讨了使用Python解决网站爬虫问题的方法,特别关注了伪装请求头、处理用户行为以及应对动态加载的...
Spring Boot接口设计防篡改、防重攻击详解
08-25
主要给大家介绍了关于Spring Boot接口设计防篡改、防重攻击的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Spring Boot具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
信息安全课程设计基于python实现分析网站的爬虫策略并进行爬虫源码.zip
09-27
信息安全课程设计基于python实现分析网站的爬虫策略并进行爬虫源码.zip信息安全课程设计基于python实现分析网站的爬虫策略并进行爬虫源码.zip信息安全课程设计基于python实现分析网站的爬虫策略并进行...
Java请求中关于如何避免防重攻击
weixin_42960380的博客
06-25 7512
攻击介绍 (入侵者从网络上截取主机A发送给主机B的报文,并把由A加密的报文发送给B,使主机B误以为入侵者就是主机A,然后主机B向伪装成A的入侵者发送应当发送给A的报文。–介绍引用网址https://www.jianshu.com/p/7887f16581c0 防御手段 防止重攻击的方法是使用不重数 加随机数 该方法优点是认证双方不需要时间同步,双方记住使用过的随机数,如发现报文中有以前使用...
攻击测试
weixin_46121540的博客
03-02 592
攻击测试
字节面试官:你觉得HTTPS能防止重攻击吗?
m0_69745415的博客
04-19 215
key_block 密钥块(有的文章把这个东西称为会话密钥) 先大致有个印象,继续往下阅读 现在我们已经有三个参数client_random,pre_master_secret,server_random,服务端和客户端分别会根据这三个参数,推导出master_secret,一旦master_secret被推导出来,会立刻删除pre_master_secret。(摘自rfc2246,section8.1) 当master_secret计算出以后,立刻计算key_block(摘自rfc2246,secti.
https能防重吗_HTTPS入门及如何防重攻击
weixin_30478241的博客
01-14 1147
HTTPS入门HTTPS即在HTTP的基础上增加了SSL或TSL协议,其运行于会话层和表示层。SSL简介SSL(Secure Socket Layer安全套接层)以及其继承者TSL(Transport Layer Security 传输层安全)是为了网络通信安全 提供安全及数据完整性的一种安全协议。SSL协议可分为两层:SSL记录协议(SSL Record Protocol):它建立在可靠的传输协...
HTTPS入门及如何防重攻击
为智慧地球添砖加瓦
11-03 9266
HTTPS入门HTTPS即在HTTP的基础上增加了SSL或TSL协议,其运行于会话层和表示层。SSL简介SSL(Secure Socket Layer安全套接层)以及其继承者TSL(Transport Layer Security 传输层安全)是为了网络通信安全 提供安全及数据完整性的一种安全协议。 SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的
再探https与重攻击
junyang2012的博客
09-14 2238
  最近浏览到一篇关于https是如何防范重攻击的文章,感兴趣的可以详细看下,文章中详细解释了其原理,但读完给我带来了一些疑惑——我们能否完全依赖https来防重,进一步搜索,发现关于这个问题的说法不是很明确一致,于是决定在再探究下,便有了这篇文章。   本文将聚焦“我们能否完全依赖https来防重”这个问题,尽可能做出准确的分析,同时也算提供验证资料准确性的一种参考。另外为了说明问题,会对相关概念、流程作以简述。 一、概念简介 1.1 https:是在http基础之上,引入TLS(安全传输层协议)/
互联网防爬机制的六种爬技术大解析
公众号:白又白学Python
10-19 9520
目录 前言 爬虫 仔细分析这七种爬技术 1、user-agent 2、验证码 3、封IP 4、关联请求上下文 5、JavaScript 参与运算 6、提高数据获取成本 前言 ​ 互联网时代,无论在工作上,还是生活上都离不开网络,而网络能给我们带来什么? ​ 新闻,小说,资料,各行业的数据或者报表等等; ​ 比如:快毕业了为了论文,在各种网站上爬取需要的数据进行分析;还有一些为了兴趣爱好,爬取各种类型的图片,视频,文章,数据等。 ​ 各网站的开发人员为了约束这种行为,开始绞尽脑
HTTPS防止重攻击流程
小熊的博客
01-25 720
HTTPS防止重攻击流程 引言 老规矩,先来一段面试情景再现~~ 某日,一求职者来到阿雄公司 (一阵项目介绍瞎扯……) 阿雄:"网络这块学的如何?" 求职者:"只懂一点开发中常用的HTTPS和HTTP协议!" (求职者内心:千万别深问啊,我只背了点八股文!) 阿雄:"那说一说HTTPS主流程什么样的?" 求职者:"懂的,懂的,客户端携带随机数…(省略1000字)…最后生成了对称密钥,客户端和服务端利用对称密钥进行通信!" 阿雄听到这里,嘴角VV一笑,心里想到这怎么听着这么像网上某某文章提到
基于python的爬虫技术的研究设计与实现.docx
08-03
基于python的爬虫技术的研究设计与实现.docx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值