APP之防重放攻击

最新推荐文章于 2024-04-24 16:33:09 发布
最新推荐文章于 2024-04-24 16:33:09 发布
阅读量4.9k 收藏 10
点赞数
分类专栏: 数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LVXIANGAN/article/details/96331706
版权

什么是重放攻击?

我们在设计接口的时候,最怕一个接口被用户截取用于重放攻击。重放攻击是什么呢?就是把你的请求原封不动地再发送一次,两次...n次,一般正常的请求都会通过验证进入到正常逻辑中,如果这个正常逻辑是插入数据库操作,那么一旦插入数据库的语句写的不好,就有可能出现多条重复的数据。一旦是比较慢的查询操作,就可能导致数据库堵住等情况,如果是付款接口,或者购买接口就会造成损失,因此需要采用防重放的机制来做请求验证。

 

HTTPS数据加密是否可以防止重放攻击?

否,加密可以有效防止明文数据被监听,但是却防止不了重放攻击。

 

如何防重放攻击?答案:客户端在请求参数加上 时间戳 + 随机数

  • 时间戳(timestamp)。以服务端当前时间为准,服务端要求客户端发过来的时间戳,必须是最近60秒内(假设值)的。这样,这个请求即使被截取了,你也只能在60s内进行重放攻击。

  • 随机数(nonce)。但是,攻击者还有60s的攻击时间呢!所以我们需要在客户端请求中再加上一个随机数(中间黑客不可能自己修改随机数,因为有参数签名的校验呢)服务端会对一分钟内请求的随机数进行检查,如果有两个相同的,基本可以判定为重放攻击。因为正常情况下,在短时间内(比如60s)连续生成两个相同nonce的情况几乎为0。
    PS:我们假设这个数足够随机,比如 md5(timestamp+rand(0, 1000)); 也可以使用UUID。

 

服务端如何校验

服务端第一次在接收到这个nonce的时候做下面行为:

  1. 
去redis中查找是否有key为nonce:{nonce}的string

  2. 如果没有,则创建这个key,把这个key失效的时间和验证timestamp失效的时间一致,比如是60s。

  3. 如果有,说明这个key在60s内已经被使用了,那么这个请求就可以判断为重放请求。

校验示例:

请求:http://a.com/?uid=123&timestamp=1480556543&nonce=43f34f33&sign=80b886d71449cb33355d017893720666
这个请求中,

  • uid是我们真正需要传递的有实际意义的参数,
  • timestamp、nonce、sign都是为了签名和防重放使用。
  • timestamp是发送接口的时间,nonce是随机串,sign是对uid、timestamp、nonce的签名。签名的方法可以是md5({秘要}key1=val1&key2=val2&key3=val3...)

服务端接到这个请求:

  1. 先验证sign签名是否合理,证明请求参数没有被中途篡改

  2. 再验证timestamp是否过期,证明请求是在最近60s被发出的

  3. 最后验证nonce是否已经有了,证明这个请求不是60s内的重放请求

 

web层面也可以采用在页面中加入token方式、手机验证码、滑动验证码等方式来防止攻击。

 

防御手段

防止重放攻击的方法是使用不重数

1.加随机数

  • 优点是认证双方不需要时间同步,双方记住使用过的随机数,如发现报文中有以前使用过的随机数,就认为是重放攻击。// ------“双方” 意思是客户端、服务端都需要做防重放。但现状是一般只对客户端要求。
  • 缺点是需要额外保存使用过的随机数,若记录的时间段较长,则保存和查询的开销较大。

2. 加时间戳

  • 方法优点是不用额外保存其他信息。
  • 缺点是认证双方需要准确的时间同步,同步越好,受攻击的可能性就越小。但当系统很庞大,跨越的区域较广时,要做到精确的时间同步并不是很容易。
      
            private readonly string TimeStamp = ConfigurationManager.AppSettings["TimeStamp"];//配置时间戳
        [HttpPost]
        public ActionResult TestApi()
        {
                string RequestTime = Request["rtime"]; //请求时间经过RSA签名
                try
                {
                    //请求时间RSA解密后加上时间戳的时间即该请求的有效时间
                    DateTime Requestdt = DateTime.Parse(RSACryptoProvider.Decrypt(RequestTime, RSA_Keys.Private)).AddMinutes(int.Parse(TimeStamp)); 
                    DateTime Newdt = DateTime.Now; //服务器接收请求的当前时间
                    //if 请求的有效时间 < 现在服务器接受请求的时间 即该请求失效
                    if (Requestdt < Newdt)
                    {
                        return Json(new { success = false, message = "该请求已经失效" });
                    }
                    else
                    {
		    //进行其他操作
		    }
                }
                catch (Exception ex)
                {
                    return Json(new { success = false, message = "请求参数不和要求" });
                }
        }

3. 加流水号
就是双方在报文中添加一个逐步递增的整数,只要接收到一个不连续的流水号报文(太大或太小),就认定有重放威胁。

  • 该方法优点是不需要时间同步,保存的信息量比随机数方式小。
  • 缺点是一旦攻击者对报文解密成功,就可以获得流水号,从而每次将流水号递增欺骗认证端。

 

在实际中,常将方法(1)和方法(2)组合使用,这样就只需保存某个很短时间段内的所有随机数,而且时间戳的同步也不需要太精确。
对付重放攻击除了使用本以上方法外,还可以使用挑战一应答机制和一次性口令机制,而且似乎后面两种方法在实际中使用得更广泛。

 

 

 

 

 

本文参考:https://segmentfault.com/a/1190000014821815 有删改

LVXIANGAN
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何有效防止API的重放攻击(转自阿里云)
weixin_30346033的博客
07-06 303
API重放攻击(Replay Attacks)又称重播攻击、回放攻击,这种攻击会不断恶意或欺诈性地重复一个有效的API请求。攻击者利用网络监听或者其他方式盗取API请求,进行一定的处理后,再把它重新发给认证服务器,是黑客常用的攻击方式之一。HTTPS数据加密是否可以防止重放攻击?否,加密可以有效防止明文数据被监听,但是却防止不了重放攻击。使用签名防止重放攻击使用签名之后,可以对请求的身...
深入了解重放攻击和如何防范
cpzzy123的博客
01-07 4805
重放攻击的概念 根据百科的解释: 重放攻击(Replay Attacks)又称重播攻击、回放攻击或新鲜性攻击(Freshness Attacks),是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。 它是一种攻击类型,这种攻击会不断恶意或欺诈性地重复一个有效的数据传输,重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络...
什么是重放攻击(Reply attack)?
最新发布
常备不懈
04-24 2454
重放攻击,也称为回放攻击,是一种网络攻击方式。重放攻击是一种中间人攻击,攻击者通过截获合法的数据传输并重新发送它们来欺骗接收方,让接收方误以为是合法的消息。重放攻击是非常常见的,因为在拦截了来自网络的传输后,黑客不需要专门的专业知识来解密信息。 重放攻击不仅限于信用卡交易,还可以采取多种形式,诈骗者可以通过有效的重放攻击来模仿真实用户并完成任何欺诈行为。
如何防止别人抓包重放攻击
weixin_33851604的博客
04-08 1199
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringBoot系列——防重放与操作幂等
2023年最新地推相关信息
04-10 764
 前言  日常开发中,我们可能会碰到需要进行防重放与操作幂等的业务,本文记录SpringBoot实现简单防重与幂等  防重放,防止数据重复提交  操作幂等性,多次执行所产生的影响均与一次执行的影响相同  解决什么问题?  表单重复提交,用户多次点击表单提交按钮  接口重复调用,接口短时间内被多次调用  思路如下:  1、前端页面表提交钮置灰不可点击+js节流防抖  2、Redis防重Token令牌...
基于timestamp和nonce的防止重放攻击方案
热门推荐
koastal的博客
12-04 4万+
以前总是通过timestamp来防止重放攻击,但是这样并不能保证每次请求都是一次性的。今天看到了一篇文章介绍的通过nonce(Number used once)来保证一次有效,感觉两者结合一下,就能达到一个非常好的效果了。 重放攻击是计算机世界黑客常用的攻击方式之一,所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。 首先要明确一个事情,重...
java添加时间戳防止重放攻击
qq_40543150的博客
01-25 7137
每次HTTP请求,都需要加上timestamp参数。因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间相比较,是否超过了60s,如果超过了则认为是非法的请求。 直接上代码: js 在页面引入aes.js,在请求头部中传入加密的时间戳 $.ajax({ cache : true, type : &quot;pos...
企业API接口设计之token、timestamp、sign具体实现
渣渣想逆袭
03-09 800
一:token 简介 Token:访问令牌access token, 用于接口中, 用于标识接口调用者的身份、凭证,减少用户名和密码的传输次数。一般情况下客户端(接口调用方)需要先向服务器端申请一个接口调用的账号,服务器会给出一个appId和一个key, key用于参数签名使用,注意key保存到客户端,需要做一些安全处理,防止泄露。 Token的值一般是UUID,服务端生成Token后需要将t...
基于timestamp+nonce的会话重放解决方案
weixin_42728957的博客
01-08 2143
基于timestamp+nonce的会话解决方案 timestamp解决黑客抓包重放请求超过60s的情况,超过60s的请求为非法请求。 nonce(Number used once)仅一次有效的随机字符串,要求每次请求时,该参数要保证不同,所以该参数与时间戳有关。我们把每次请求的nonce参数保存在一个集合中,可以json格式存储在数据库中或缓存中,我们每次处理http请求时,首先判断该请求的no...
优雅的接口防刷处理方案!
乌龟的专栏
04-06 814
对于互联网来说,只要你系统的接口暴露在外网,就避免不了接口安全问题。如果你的接口在外网裸奔,只要让黑客知道接口的地址和参数就可以调用,那简直就是灾难。举个例子:你的网站用户注册的时候,需要填写手机号,发送手机验证码,如果这个发送验证码的接口没有经过特殊安全处理,那这个短信接口早就被人盗刷不知道浪费多少钱了。那如何保证接口安全呢?一般来说,暴露在外网的api接口需要做到和才能称之为安全的接口。
Java请求中关于如何避免防重放攻击
weixin_42960380的博客
06-25 7547
重放攻击介绍 (入侵者从网络上截取主机A发送给主机B的报文,并把由A加密的报文发送给B,使主机B误以为入侵者就是主机A,然后主机B向伪装成A的入侵者发送应当发送给A的报文。–介绍引用网址https://www.jianshu.com/p/7887f16581c0 防御手段 防止重放攻击的方法是使用不重数 加随机数 该方法优点是认证双方不需要时间同步,双方记住使用过的随机数,如发现报文中有以前使用...
第三方调用时 Nonce TimeStamp Signature 这三个参数有什么用?
asfasfasgjkl的博客
06-27 1001
第三方调用时 Nonce TimeStamp Signature 这三个参数有什么用?
微信公众号获取 时间戳 随机数
Ming-code
04-12 2132
获取access_token 请求接口: https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=你的appid&secret=你的secret 请求方法: get 返回结果: access_token (有效期7200秒,必须在服务端缓存) 获取签名所需ticket 请求接口:http...
Web安全 【基础】 请求防篡改和唯一请求(重放攻击)
言小溪 的博客
10-11 4567
这里给大家直接上工具 js methods: //传入json对象,和key(任意字符串,越长越好),获取md5加密 getMd5(params,key){ let str = JSON.stringify(this.sort_ASCII(params)) return this.$md5(encodeURIComponent(str+key)) } //对json 对象进行 ascii码 排序 sort_ASCII(obj) { var arr = new Array(); var num
信息安全学习4. 重放攻击的概念与防范
编程圈子-谢厂节的博客
06-28 6342
一、 定义重放攻击(Replay Attacks)又称为重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程、破坏认证的正确性。 重放攻击可以由发起者、或拦截方进行。重放攻击基于网络嗅探。很多时候嗅探到的数据是加密过的,但攻击者虽然无法解密,但如果攻击者知道数据的意义,就可以发送这些数据来愚弄接收端。在物联网场景中,攻击者可以利用这种攻击控制用户的
Android APP常见风险及防护
技术超强的网络安全平台
09-17 1073
如果程序本身对运行时的内存没有做任何的保护措施,攻击者通过反编译对源代码进行分析,定位到可以程序外 Hook 类似操作的关键位置,完全不需要修改程序本身,当程序运行到敏感的界面 Activity 时,从程序外获取用户输入的证件号、姓名、手机号和密码等敏感的信息,并从内存中进行修改,尤其是对于涉及到支付等操作时,将严重威胁用户的财产安全。app被轻易的二次打包,很容易被攻击者添加恶意的代码或者添加广告,从而窃取登录账号密码、支付密码等,严重威胁用户隐私安全,也给公司的形象带来不利的影响。
网络安全比赛理论答题(七)
半岛铁盒的博客
05-02 5148
1.以下关于cc攻击说法不正确的是 B A.c攻击需要借助代理进行 B. cc攻击利用的时tcp协议的缺陷 C. cc攻击难以获取目标机器的控制权 D. cc攻击最早在国外大面积流行 2.3DES在DES的基础上,使用两个56位的密钥K1和K2,发送方用K1加密,K2解密,再用K1加密。接收方用K1解密,K2加密,再用K1解密,这相当于使用____B__倍于DES的密钥长度的加密结果。 A.1 B.2 C.3 D.6 3.安全的威胁可分为两大类,即主动攻击和被动攻击。通过截取以前的合法记录稍后重新加入一个连
API接口设计之token、timestamp、sign具体实现
sasa527的专栏
05-31 2092
API接口设计之token、timestamp、sign具体实现 内容来源于:https://www.cnblogs.com/red-fox/p/12698599.html 一、token 简介 Token:访问令牌access token, 用于接口中, 用于标识接口调用者的身份、凭证,减少用户名和密码的传输次数。一般情况下客户端(接口调用方)需要先向服务器端申请一个接口调用的账号,服务器会给出一个appId和一个key, key用于参数签名使用,注意key保存到客户端,需要做一些安全处理,防止泄露
【添加时间戳防止重放攻击
HilaryHe
07-01 1万+
如过客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,虽然第三方无法解密获取其中的数据,但是可以使用该请求包进行重复的请求操作。如果服务端不进行防重放攻击,就会参数服务器压力增大,数据紊乱的后果。而使用添加时间戳的方式可以解决这一问题。 private readonly string TimeStamp = ConfigurationManager.
行之细数安卓APP那些远程攻击漏洞.pdf
01-02
行之细数安卓APP那些远程攻击漏洞.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值