初级web api的设计(二)——防重放攻击

最新推荐文章于 2024-05-16 13:33:09 发布
最新推荐文章于 2024-05-16 13:33:09 发布
阅读量5.2k 收藏 7
点赞数 3
分类专栏: Linux 系统架构 文章标签: api web api 重放攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guokaikevin/article/details/78704115
版权

在针对数据系统的攻击中,重放攻击是最常见的攻击方式,API的设计中需要特别考虑设计好如何防范重放攻击。

重放攻击(Replay Attacks)

指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击。

防重放攻击中,最重要的手段是给消息打上一个唯一、不可以重新生成的编号,保证这个编号只能使用一次。

一、利用timestamp。

在参数中加入timestamp=xxxxx. 并且加入到签名中签名的方法

http://request_url/request_string&timestamp=xxxx&sign=xxxxx

当服务器接收到请求之后,会首先检查签名是否有效,如果有效,则对比时间戳是否在一定时间内,比如60s(需要对服务器和客户端时间进行全局同步),则请求有效

最低0.47元/天 解锁文章
Archmage1024
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
防重机制常用实现方法_最简单的6种止数据重复提交的方法!
weixin_39863161的博客
12-03 6316
有位朋友,某天突然问磊哥:在 Java 中,止重复提交最简单的方案是什么?这句话中包含了两个关键信息,第一:止重复提交;第:最简单。于是磊哥问他,是单机环境还是分布式环境?得到的反馈是单机环境,那就简单了,于是磊哥就开始装*了。话不多说,我们先来复现这个问题。模拟用户场景根据朋友的反馈,大致的场景是这样的,如下图所示:简化的模拟代码如下(基于 Spring Boot):import...
Web前端初级模拟题+答案.rar
12-11
Web前端初级Web前端初级 单择题+多选提+对错题+大题(填空题)大题有材料 Web前端开发初级理论考试_V1.0.docx Web前端开发初级实操考试_V1.0.docx Web前端开发初级实操考试_V1.0.docx 实操题素材 第一题 第题 第三...
客户端防重设计
做你所想,想你所做。
02-23 2355
需求概述客户端信道早在1.1版本中便实现了服务器防重攻击功能,但始终没有实现客户端防重攻击。这样会使得客户端存在被重放攻击的危险,如用户在转账时被重了转账失败页面,导致用户重复转账。 为此,我们需要在客户端信道中实现客户端防重功能。功能需求我们需要实现以下需求: 在服务器响应中增加序列号,实现客户端防重功能 兼容之前版本的信道通信,以便在升级服务器后,可以兼容旧客户端。 设计为兼容旧版本信
数据安全(反爬虫)之「防重」策略
最新发布
dzqxwzoe的博客
05-16 366
数据安全(反爬虫)之「防重」策略在一文中讲了 Web 前端和 Native 客户端如何从数据安全层面做反爬虫策略,本文接着之前的背景,将从的层面讲一种技术方案,实现数据安全。
API防重攻击
songtaiwu的博客
06-14 1376
防重
防重
RT_776的博客
01-31 464
使用场景 :   当系统需要与云平台进行对接时,常常会使用api鉴权对权限进行鉴定,我们使用的api鉴权方式即为aksk鉴权,简单而言就是通过签名验证是否具有权限。 假设 :   AKSK鉴权并非该帖子的主题,先略过,假设目前组件与云平台都存在一个对称加密的密匙,且组件内提供了一些API给云平台进行调用。 为什么需要防重 :   当云平台需要调用组件的api时,需要API鉴权。鉴权方案...
api安全设计-防重
qq_42600094的博客
04-28 329
防重问题 什么时api防重 api就是人为恶意把请求原封不动的重新发送给接收方 怎么解决防重问题 常见的解决方案就是基于timestamp和nonce timestamp方案 每次发送请求,都带上时间请求参数timestamp,然后把timestamp和其他参数一起进行数字签名。根据自己的业务场景设定请求从发出到达服务器所需时间diffTime ,服务器收到请求之后,首先判断时间戳参数与当前时间相比较,是否超过了diffTime的值,如果超过了则认为是非法的请求。 请求中的timestamp参数已
Web实验网页初级设计汇总.zip
01-02
Web网页设计,包含HTML、CSS、JavaScript、CSS、Java、Ajax等技术,适合于Web网页开发大作业、期末作业、毕业设计,包含网页游戏、动态网页、静态网页、表白网页、商城、个人博客、新闻广告系统、程序猿赚钱平台等...
WEB渗透——新手入门之初级工具利用
01-16
【标题】:“WEB渗透——新手入门之初级工具利用” 【描述】:“WEB渗透—优惠券https://www.panpansq.com—新手入门之初级工具利用”这个描述提到了一个在线资源,可能是提供有关WEB渗透教程的网站,它可能提供了...
Web前端开发初级样题一理+实.zip
11-15
【标题】"Web前端开发初级样题一理+实.zip" 涵盖了Web前端开发的初级理论和实践知识,是针对“1+x WEB前端开发初级考试”的备考资料。这个压缩包很可能是为了帮助初学者或者准备参加该级别认证考试的人员进行系统性...
【1+X Web前端开发初级 】样题(理论+实操).zip
11-15
【1+X Web前端开发初级】样题涵盖了理论与实操两大部分,旨在测试学习者在Web前端开发领域的基础知识和实践能力。这个压缩包包含了三个文件:`Web前端开发初级实操考试_V1.0.docx`、`Web前端开发初级理论考试_V1.0...
webapi接口请求数据篡改
08-17
自己简单实现的一个webapi接口请求时验证客户端传送数据止被篡改的组件,需要客户端配合签名,不懂的想想支付宝的支付接口签名,业务逻辑一样。
WebApi安全性 使用TOKEN+签名验证
sky198989的博客
04-20 213
转载:https://www.cnblogs.com/MR-YY/p/5972380.html
实现客户端和服务器双向的防重攻击
yaoxindong的博客
01-02 5943
实现客户端和服务器双向的防重攻击最近按客户的需求,需要在实现服务器防重的前提下实现客户端的防重机制,解决当恶意截获服务器返回数据,重复提交给客户端来反复重走交易流程,造成不安全的隐患。所谓重放攻击,百度解释:重放攻击(Replay Attacks)又称重播攻击、回攻击或新鲜性攻击(Freshness Attacks),是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份
WebAPI 用户认证篡改实现HMAC()签名验证 AbsBaseAuthenticationAttribute
热门推荐
sky 胡萝卜星星
02-05 1万+
WebAPI的用户身份认证与MVC一样都是通过Attribute进行验证,此处定义了一个抽象基类,子类需要实现根据合作号获取合作用户信息的抽象方法 AbsBaseAuthenticationAttribute using System; using System.Web; using System.Collections.Specialized; using
网络攻击之防重篇~
weixin_39815169的博客
02-22 2205
安全之防重
关于重放攻击以及预
猛犸象
01-22 2565
重放攻击:指的是入侵者拦截了用户发送的数据包,然后再重新传输给服务器,最终的结果是如果捕获到的数据包中包含认证信息,入侵者就能够冒充用户。 预防重攻击: 1、首先要做到用户的每次请求都带有一次性标识nonce,然后服务端需要存储以及对比每次请求的nonce,这样每一次请求就都是一次性的,无法被重复利用。 2、仅仅添加nonce参数虽然能达到效果,但是nonce将会变得很大,难以维护与检索,所以需...
电商系统中API接口如何止参数被篡改和重放攻击
API_18870278351的博客
03-29 510
说明:API参数篡改就是恶意人通过抓包的方式获取到请求的接口的参数,通过修改相关的参数,达到欺骗服务器的目的,常用的止篡改的方式是用签名以及加密的方式。
1+X Web前端开发(初级)讲义
08-20
"1+X Web前端开发(初级)讲义涵盖了证书相关知识、初级证书标准、考试形式、合格标准、计算机环境配置、考试内容、题型及分值,以及初级知识点,包括软件安装、网站开发基础知识等。" 在Web前端开发1+X初级证书的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值