OTP防重放攻击

已于 2024-07-19 11:06:12 修改
阅读量367 收藏 1
点赞数 4
文章标签: redis json 安全 前端 后端 node.js
于 2024-07-12 09:44:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dgiij/article/details/140369531
版权

OTP本意是一次性口令,比如邮箱验证码,短信验证码,或者根据totp或者hotp生成的默认30秒一变的6位数字。
不过开发者要注意,必须要在验证成功后失效那个验证码,不然就会导致重放攻击。
对于邮箱验证码,服务器可将邮箱和验证码存入json数组中或redis中,验证时查找匹配,成功则删除该项,一般还应配置失效时间。
对于手机验证码,服务器要将手机号和验证码存入json数组中或redis中,验证时查找匹配,成功则删除该项,一般还应配置失效时间。
对于动态口令,则要采用另外的方式:
先准备一个历史成功json数组,每项是一条json,包含用户id,token,验证时刻+禁止重复的时长
每验证成功一条用户和动态口令,则查数据是否有相同id,相同token并且验证时间还在禁止时间段内,如果查到,则认定为重放攻击,记录日志,验证不通过
如果没有查到,那么如果该用户历史列表为空,则添加json记录,否则更新替换记录的token和验证时刻+禁止重复时长。
注意一般动态口令验证会有一个允许的窗口数,以平衡用户时间和服务器时间的差异,这些前后窗口内的token值在当前验证仍然是可以通过的,所以禁止重复时长至少要覆盖之后的窗口时长。如果token时长是30秒,窗口是2,那么禁止重复时长应该设置为90秒。
如果用户数量大,嫌内存空间占用多,可以考虑每次计算时删除已经过期的条目,或者使用redis,在添加记录时定义失效时间。

...
var loginfaillist=[];
var userotpsucclist=[];
...
	if (tokenValidates) {
		let histmatch=userotpsucclist.find(item=>((item.userid==matchuser.uid.toLowerCase())&&(item.token==obj.token)&&(item.invalid>now)))
		if (histmatch!=undefined) {
			addfail(now,clientip);
			logger.error("涉嫌重放攻击 "+matchuser.uid);
			return res.json({ "msg":"涉嫌重放攻击"});
			}
		histmatch=userotpsucclist.find(item=>(item.userid==matchuser.uid.toLowerCase()))
		if (histmatch==undefined) userotpsucclist.push({"userid":matchuser.uid.toLowerCase(),"token":"obj.token","invalid":now.getTime()+200000})
		else { histmatch.token=obj.token; histmatch.invalid=now.getTime()+200000; }
		loginfaillist=loginfaillist.filter(itm=>(itm.ip!=req.ip));
		logger.info("认证通过 "+matchuser.username+" "+clientip);
		res.json({"msg":"succ","userid":matchuser.uid.toLowerCase(),"username":matchuser.username});
		}
dgiij
关注
重放攻击及抗重放
yingtongqaq的博客
07-29 7551
重放攻击以及抗重放 重放攻击 重放攻击(Replay Attacks)又称重播攻击、回放攻击或新鲜性攻击(Freshness Attacks),是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。 1、入侵者从网络上截取主机A to 主机B的报文 2、入侵者将A加密的报文发送给B 3、主机B误认为主机A=入侵者,主机B向入侵者发送应当发送给A的报文 重放攻击的类型  1.根据消息的来源:   协议轮内攻击:一个协议轮内消息重放   协议轮外攻击:一个协议不同
安全与隐私计算在国内发展现状
maoguan121的博客
07-24 283
服务端点是DID主体提供的网络地址。特定服务的例子可以包括发现服务, 社交网络,文件存储服务和可验证的声明存储库, 数字资产服务。服务端点也可 以由通用数据交换协议(例如可扩展数据交换)提供。 ...
什么是重放攻击(Reply attack)?
常备不懈
04-24 4013
重放攻击,也称为回放攻击,是一种网络攻击方式。重放攻击是一种中间人攻击,攻击者通过截获合法的数据传输并重新发送它们来欺骗接收方,让接收方误以为是合法的消息。重放攻击是非常常见的,因为在拦截了来自网络的传输后,黑客不需要专门的专业知识来解密信息。 重放攻击不仅限于信用卡交易,还可以采取多种形式,诈骗者可以通过有效的重放攻击来模仿真实用户并完成任何欺诈行为。
重放攻击(Replay Attack)
qq_69100706的博客
04-28 553
重放攻击(Replay Attack)是一种网络攻击手段,攻击者通过捕获并重复发送有效的数据包或消息,来欺骗系统或网络,以达到未经授权的访问、操作或者获取信息的目的。这种攻击利用了信息的有效性不随时间改变这一特性,即在网络通信中,一个有效且经过认证的数据包,在一段时间内重新发送依然会被系统认为是有效的。:在物联网(IoT)设备或工业控制系统中,攻击者可能重放控制指令,如开启或关闭某些设备,造成物理世界的操作混乱或损坏。
什么是Cookie-Session重放攻击
xsgnzb的专栏
03-07 984
Cookie-Session 重放攻击是一种网络攻击方式,攻击者利用被攻击者已有的认证 Cookie 或 Session ID 等信息,重复发送该信息进行身份验证,从而获得访问权限。
什么是OTP认证?OTP认证服务器有哪些应用场景?
www.andang.cn
11-03 2570
ASP身份认证系统作为OTP认证服务器,可以与其他安全机制结合使用,例如多因素身份认证、访问控制等,提高系统的安全性和可靠性。在这些场景中,OTP可以提供安全的身份认证方式,保护企业和个人的账户安全。企业内部应用系统:安当ASP身份认证系统可以集成企业内部的应用系统,如ERP、CRM、OA等,实现单点登录和集中身份认证,提高应用系统的安全性和用户体验。网络安全护:安当ASP身份认证系统可以与其他安全机制结合使用,如火墙、入侵检测系统等,提供多层次的安全护和身份认证,保护企业网络和数据的安全性。
身份认证与口令攻击
缘友一世的博客
05-31 1510
身份认证、身份认证的五种方式、口令认证、静态口令、动态口令(一次性口令)、动态口令分类、密码学认证、一次性口令认证、S/KEY协议、改进的S/KEY协议、基于共享密钥的认证、口令行为规律和口令猜测、口令规律、口令猜测、口令破解、操作系统口令破解、Windows密码存储机制、Windows密码破解方法、Unix/Linux系统口令文件、Unix的口令文件、Unix口令破解程序、Crack、John the Ripper、XIT、Slurpie、密码哈希值破解、网络应用口令破解、远程口令攻击、跨域拓展攻击、口令
Otp.NET:构建安全认证的C神器
gitblog_00355的博客
08-25 767
Otp.NET:构建安全认证的C#神器 Otp.NETA .NET implementation of TOTP and HOTP for things like two-factor authentication codes.项目地址:https://gitcode.com/gh_mirrors/ot/Otp.NET 在当今网络世界中,安全性是每一个应用不可或缺的一环。为了提供更为坚固的护壁...
【0527】身份鉴别技术
weixin_44164249的博客
03-24 3985
身份鉴别技术 概念 网络安全的AAA机制 鉴别Authentication,授权Authorization,审计Audience 鉴别就是可信地确认实体是它所声明的。 鉴别需要满足的要求: (1)A能向B证明自己的确是A; (2)A证明身份后,B得不到任何用于假冒A的有用信息,其他实体无法向第三方声称自己是A 相关实体: (1)申请者 (2)验证者 (3)攻击者 身份鉴别系统的主要要求 (1)验证者正确鉴别合法申请者的概率极大化 (2) 基本方法 所知【如通行口令】;所有【如磁卡】;唯一特征【如指纹】 鉴别
基于动态口令的应用层DDoS攻击御方案
01-20
其次,由于动态口令会自动变化,故方案可抵御复制、重放和暴力破解攻击。第三,通过记录那些不解决难题并不断发送请求的IP地址来识别客户端是否为攻击者,一旦所有攻击者被识别出来后,OTP-DEF屏蔽其IP地址并停止...
OTPClient:以CGTK编写的高度安全且易于使用的OTP客户端,同时支持TOTP和HOTP
01-30
OTP增强了传统静态密码的安全性,因为它降低了密码被重放攻击的风险。 **TOTP(时间同步一次性密码)** TOTP是基于时间的一次性密码算法。它通过一个密钥和当前时间戳来生成密码,通常每30或60秒更新一次。TOTP的...
一种基于S_Key协议的OTP技术改进方案
12-30
这种机制有效地止了重放攻击,因为每个口令只使用一次。 然而,S/KEY协议存在小数攻击的隐患。攻击者(Ub)可以截取并篡改服务器发送给用户的Seq,使其减少一个小数值,然后用户使用篡改后的Seq计算口令,这可能...
Redis
weixin_45939821的博客
09-10 416
〇、redis的几种数据类型 一、两种储存机制:RDB和AOF RDB: rdb是redis默认的存储机制; 触发规则后将内存数据存储到硬盘的dump.rdb文件中: save 900 1 save 300 10
Spring Boot 集成 Redisson 实现消息队列
大橘的博客
09-10 559
【代码】Spring Boot基于Redisson的RBlockingQueue实现简单的消息队列,适用于简单队列应用。有普通队列与延迟队列实现。
Redis网络模型、通信协议、内存回收
kingandsong的博客
09-13 847
redis的网络模型,通信协议,内存回收解析
Redis 入门 - 五大基础类型及其指令学习
IT规划师
09-11 743
学习Redis基础类型:字符串、集合、有序集合、列表、哈希,每种类型有各自的特点和常用指令。掌握这些基础是熟练使用Redis的关键。更多指令需自行尝试。
Redis 集群
qq_59677536的博客
09-13 651
Redis高可用
Redis 高可用
最新发布
Jin_0612_的博客
09-13 869
持久化:主要解决数据安全问题,止数据丢失,但无法应对服务中断问题。主从复制:实现数据多机备份、读写分离,提升读性能,但缺乏自动化故障恢复,且写操作无法分散。哨兵模式:在主从复制的基础上,增强了自动故障检测与恢复的能力,但依然存在写操作瓶颈和存储限制。Cluster集群:解决了写操作负载均衡和存储受限问题,实现了全面的高可用方案,适合需要大规模数据存储和高性能读写的场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值