JMeter 防重发攻击 nonce 和 publickey 的实现

已于 2023-08-17 09:15:56 修改
阅读量207 收藏
点赞数
分类专栏: Computer 文章标签: jmeter
于 2023-08-14 09:14:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chengrongliang/article/details/132268740
版权

一.  防重发攻击方案

nonce是仅一次有效的随机字符串,要求每次请求时,该参数要保证不同,我们在产品中使用了一个随机字串,作为种子,按md5生成的字符串,作为nonce参数。

我们将每次请求的nonce参数存储到一个redis中。 每次处理HTTP请求时,首先判断该请求的nonce参数是否在redis中,如果存在则认为是非法请求。

二. 那么在Jmeter中我们如何实现random string 和 nonce 同时在一个http request里面发出来呢?

这里就要用到 “用户参数” 这个 前置处理器

 “用户参数”的设置如下

因为nonce的值每次都有变化,所以“Update Once Per Iteration”需要勾选上

其中的RandomString 和 digest 函数可以在函数助手里面找到 

 这样就可以再http request 中使用者两个参数了

冗量
关注
专栏目录
Jmeter如何在大并发测试下,让登录或者后续接口只执行一次?
m0_37449634的博客
11-30 1032
这个问题网上的答案其实很多,但是大多不靠谱。 比如推荐使用仅一次控制器,但是仅一次控制器对线程组无效;比如推荐跨线程组调用,但是这样比较繁琐,新人也搞不定; 其实只要对元件熟悉,这个问题很简单,只需要用吞吐量控制器(Throughput Controller)即可实现。 下图100线程并发执行: 添加一个吞吐量控制器,选择总数计算(Total Executions) 然后把执行单次的请求放在该控制器下面就ok了,是不是很简单? Jmeter高级性能测试实战htt...
区块链nonce的java实现过程,Java语言编写第一个区块链程序
weixin_42500477的博客
03-11 487
区块链就是一串或者是一系列区块的集合,类似于链表的概念,每个区块都指向于后面一个区块,然后顺序的连接在一起。在区块链中的每一个区块都存放了很多很有价值的信息,主要包括三个部分:自己的数字签名,上一个区块的数字签名,还有一切需要加密的数据(这些数据在比特币中就相当于是交易的信息,它是加密货币的本质)。每个数字签名不但证明了自己是特有的一个区块,而且指向了前一个区块的来源,让所有的区块在链条中可以串起...
区块链nonce的java实现过程,单机区块链实现
weixin_39631007的博客
03-11 545
区块链就是一串或者是一系列区块的集合,类似于链表的概念,每个区块都指向于后面一个区块,然后顺序的连接在一起。在区块链中的每一个区块都存放了很多很有价值的信息,主要包括三个部分:自己的数字签名,上一个区块的数字签名,还有一切需要加密的数据(这些数据在比特币中就相当于是交易的信息,它是加密货币的本质)。每个数字签名不但证明了自己是特有的一个区块,而且指向了前一个区块的来源,让所有的区块在链条中可以串起...
JMeter接口创建数据,解决数据重复提交,一个线程间隔5秒后提交
weixin_50501942的博客
05-16 402
添加固定定时器-根据项目设置对应的秒数。
Jmeter压测 —— 1秒发送1次请求
09-06 589
有时候测试场景需要设置请求频率为一秒一次(或几秒一次)1、首先需要在线程组下设置循环次数(可以理解为请求的次数)次数设置为请求300次,其中线程数跟时间自行设置2、在设置的http请求下添加定时器 常数吞吐量定时器3、设置目标吞吐量(每分钟的样本量)次数表示一分钟完成60次请求,就1秒一次,同理如果设置为30.0,即2秒一次综上设置,该请求为1秒一次,请求300次,共5分钟。1、添加定时器 固定定时器2、设置线程延迟(ms)(此处设置请求之间延迟1s,即1秒一次)
stressTestPlatform:基于Jmeter实现的在线压测和管理Jmx的平台
04-28
本项目基于renren-fast Java开发平台开发,内核基于Jmeter-Api和Jmeter脚本实现在线性能压测。 插播广告: 如果有需要,请帮忙支持一下: 互帮互助,感谢。 平台特点 友好的代码结构及注释,便于阅读及二次开发 实现...
jmeter 实现oauth1.0授权认证
08-18
请注意,由于OAuth 1.0的安全性要求,每次请求的nonce和timestamp都必须是唯一的,因此在实际操作中,nonce和timestamp的生成应在每次请求时动态进行。 总结来说,实现JMeter中的OAuth 1.0认证需要对OAuth协议有...
jmeter实现远程服务器性能测试
02-02
jmeter实现远程服务器性能测试之前在Jmeter插件监控服务器性能一篇中说到,在非GUI环境中监控时为了保存监控数据需要修改jmeter脚本,并且每次通过施压机(远程服务器,非GUI环境)来压测时都要将jmeter脚本上传然后...
零成本实现Web性能测试:基于Apache JMeter
04-14
《零成本实现web性能测试:基于apache jmeter》 第1章 性能测试基础 1 1.1 初识性能测试 1 1.1.1 性能测试的概念 1 1.1.2 性能测试的目的 2 1.1.3 性能测试的常见分类 2 1.1.4 性能测试的常见指标 3 1.1.5 性能测试...
JMeter的使用,同时发起多次请求的压测,POST请求使用scv参数化文件
文文的博客
05-19 3968
0.安装 1.基础使用 2.压力测试 3.预制处理 4.乱码处理 5.设置Jmeter的响应数据为JSON格式 6.动态参数 7.POST请求使用scv参数化文件 8.与Postman的比较
生成指定长度的随机字符串
11-12
生成指定长度的随机字符串,复制到剪切板。
如何绕过api的防重放做安全测试
最新发布
dayouzi的博客
10-17 885
笔者在进行api接口的测试时(因为菜没有工具,只能另辟蹊跷),使用postman+xray进行安全测试,但是因为nonce参数检测的缘故,导致xray的发出的扫描包全部失效,导致无法使用xray进行安全扫描,由此引入问题。
JMeter 验签加密
g3230863的博客
04-07 542
1.首先执行登录接口,用JSON提取器把获取到的token信息,存放到全局的token这个变量中,方便下面验签中获取 2.在登录成功后,需要写BeanShell取样器来生成signature。 注意BeanShell需要在获取数据接口的上面,不然获取不到signature,requestTime等信息。 用Jmeter的系统方法,生成时间戳与nonce,然后用SHA1来加密。 import org.apache.commons.codec.binary.Base64; import org.apac
Jmeter取一个10位不重复的随机数
hw1932的博客
03-22 8427
jmeter自带的函数__random()是会重复的,为了避免此情况,采用时间戳+随机数的方法,如下:long phone=${__time(/1000,)} + ${__Random(1,100000,)}; System.out.println(phone);这里,前半是取一个10位的时间戳,后面是取1个[1,100000]的随机数字,可重复,这个随机范围越大,最后生成的随机数越不容易重复,当大
开放API网关实践(二) —— 重放攻击及防御
javagty6778的博客
02-03 370
上一篇文章《开放API网关实践(一)》中的接口设计提到timestamp和nonce什么是重放攻击如何防御重放攻击什么是重放, 先举个例子:打开浏览器的调试工具并访问一个网站, 在网络工具中找到一个请求并右键选择Replay. 如图:上述的重放操作是接口调试中比较常用的手段, 这种操作可以让我们跳过认证信息的生成过程, 直接重复发起多次有效的请求.而重放攻击是一种黑客常用的攻击手段, 又称重播攻击回放攻击, 是指攻击者发送目的主机已接收过的数据。
基于timestamp和nonce的防止重放攻击方案
热门推荐
koastal的博客
12-04 4万+
以前总是通过timestamp来防止重放攻击,但是这样并不能保证每次请求都是一次性的。今天看到了一篇文章介绍的通过nonce(Number used once)来保证一次有效,感觉两者结合一下,就能达到一个非常好的效果了。 重放攻击是计算机世界黑客常用的攻击方式之一,所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。 首先要明确一个事情,重...
Spring Cloud Gateway防重放攻击实现
Clang’s Blog
01-17 6224
在上面的代码中,在验证请求的Nonce是否合法时,会先判断Nonce是否已经在usedNonceSet中出现过,如果出现过,则认为该请求是重放攻击,返回错误响应。需要注意的是,这个TIMESTAMP_VALID_TIME是需要根据具体场景和需求来确定的,如果设置过大,则会增加重放攻击的风险,如果设置过小,则会增加误拦截的风险。这个usedNonceSet变量应该是在类的变量里定义并初始化的,并且需要注意的是,这个set要确保线程安全,在不同的线程中能够正确的读写。
第三方调用时 Nonce TimeStamp Signature 这三个参数有什么用?
asfasfasgjkl的博客
06-27 1172
第三方调用时 Nonce TimeStamp Signature 这三个参数有什么用?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值