分布式-解决请求重放问题

最新推荐文章于 2024-06-11 15:17:06 发布
最新推荐文章于 2024-06-11 15:17:06 发布
阅读量1.8k 收藏 3
点赞数 1
分类专栏: 分布式 redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ignorewho/article/details/100177386
版权
请求重放是指由于网络异常或恶意攻击导致同一请求反复发送到服务端,可能引起数据重复、不一致甚至服务崩溃。常见场景如dubbo微服务间的接口请求。解决方案包括时间戳、nonce以及结合redis实现的方案,通过校验nonce和时间戳,并利用redis的乐观锁防止并发设置key的问题,确保请求的唯一性。
摘要由CSDN通过智能技术生成

请求重放

什么是请求重放

  1. 由于网路原因或未知异常导致的客户端不断向服务端重试同一个请求的行为可以叫做请求重放。
  2. 重放攻击是被别有用心的人截获请求地址后,不断向服务端发送请求。

可能导致的问题

  1. 请求重放可能会导致出现的一些问题有:数据重复、数据不一致、服务端接口被恶意攻击直至崩溃。

常见的业务场景

  1. 分布式场景下,使用dubbo框架,dubbo微服务间接口请求处理响应超时后,调用方默认会发起请求重试;

常见的解决方案

百度百科-请求重放

  1. 随机数,也叫nonce(Number once的缩写)。
  2. 时间戳。
  3. 时间戳+nonce。

基于redis实现的一种解决方案(时间戳+nonce原理)

  1. 客户端生成uuid随机数,即得到nonce,传递参数timestamp=xxx&nonce=yyy&sign=zzz;
  2. 服务端接收到请求后,首先校验sign,目的是确认请求是否被篡改过,一般sign的计算规则可以是:md5(key=value&…),key为参数名称,value为值;
  3. 判断timestamp与当前时间做对比,查
最低0.47元/天 解锁文章
ignorewho
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
请求重放测试
酷狗直播-锦凡歆的博客
05-27 850
请求重放测试 请求重放漏洞是电商平台业务逻辑漏洞中一种常见的由设计缺陷所引发的漏洞,通常 情况下所引发的安全问题表现在商品首次购买成功后,参照订购商品的正常流程请求,进 行完全模拟正常订购业务流程的重放操作,可以实现“一次购买多次收货”等违背正常业务 逻辑的结果。 作者: 锦凡歆在‘来疯’直播唱歌最好听 修复建议 用户每次订单 Token 不应该能重复提交,避免产生重放订...
怎么解决重放攻击
weixin_42576467的博客
01-13 873
重放攻击可以通过使用一些防御措施来解决。其中一种方法是使用时间戳或序列号,在每次请求中都包含一个唯一的时间戳或序列号,服务器检查这些值是否已经使用过。另一种方法是使用非对称加密算法,在发送数据之前对其进行加密,并在接收到数据后使用相应的私钥进行解密。还有一种方法是使用数字签名,数字签名可以验证数据是否是发送者发送的。 ...
面试官:你讲下接口防重放如何处理?
最新发布
dsgdauigfs的博客
06-11 928
具体如下。那么什么是我们理解的放重放呢简单来说就是,前端和客户端约定一个算法(比如md5),通过加密时间戳+传入字段。来起到防止重复请求的目的。然后这个时间戳可以设定为30秒,60秒过期。那么如果30秒,有人不断刷我们的接口怎么办。我们还可以新加一个字段为nonceKey,30秒内随机不重复。这个字段存放在Redis,并且30秒过期。如果下一次请求nonceKey还在redis,我就认为是重复请求,拒绝即可。以我个人的理解。防重放用处不大,其他安全措施,比如非对称的RSA验签更加有效。
面试官:啥是请求重放呀?
qq_27243343的博客
05-18 1874
这是why的第 103 篇原创 你好呀,我是why。 如图,重放攻击,这题我真的在面试的时候遇到过,两次。 印象比较深的是第一次遇到这个面试题的时候,也是第一次听到“重放攻击”这个词的时候,一脸蒙蔽,于是我就连蒙带猜的,朝着接口幂等性的方向去答了。 结果就凉了。 要回答怎么防止重放攻击,那么我们得知道啥是重放攻击。 学术上的解释是这样的: 重放攻击(英语:replay attack,或称为回放攻击)是一种恶意或欺诈的重复或延迟有效数据的网络攻击形式。 这可以由发起者或由拦截数据并重新传输数据的对手来执行
5.Burp Suite 入门篇 —— Burp Repeater 重放请求
YouTheFreedom的博客
04-10 1560
本篇文章会教你如何使用 Burp Repeater 重放特定请求。挖掘漏洞时,重放请求可以帮助我们研究用户输入不同参数时对目标网站的影响,也不需要每次都靠点击页面拦截请求实现。
会话重放攻击与完整性校验解决方案
阿强的博客
05-03 5404
简介: 攻击者发送一个目的主机已经接收过的包,特别是在认证的过程中,用于认证用户身份所接收的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的安全性。也可利用系统中POST请求数据包未针对单个请求设置有效的验证参数,导致会话请求可以重放,无限制的向数据库中插入海量数据,或无限制的上传文件到系统中,造成资源浪费。 解决方案: 后端写个方法,生成系统当前时间,待前台调用 System.cu...
阿里云分布式应用服务EDAS-API参考手册-D.docx
10-11
若遇到无法解决问题,可以利用RequestId和HostId联系阿里云客服获取帮助。 【签名机制】是EDAS验证请求者身份的重要环节。使用Access Key ID和Access Key Secret进行对称加密,确保只有授权用户才能访问服务。这...
阿里云分布式关系型数据库DRDS-API介绍-D.docx
10-11
阿里云分布式关系型数据库DRDS (Distributed Relational Database Service) 是一种云数据库服务,它构建于RDS之上,旨在解决大数据场景下的高并发、高可用和扩展性问题。DRDS通过分库分表、读写分离、平滑扩容以及...
分布式接口加密安全方案.pdf
08-10
为了解决这些问题,引入了RSA算法生成一次性动态的公钥和私钥对,以实现动态加密。这种方式通过RSA算法生成的公钥用于前端JavaScript加密,而后端服务端使用对应的私钥进行解密。当需要返回数据给客户端时,再使用...
分布式数据集的实时一致性.pptx
05-20
**Paxos算法**是一种经典的分布式一致性算法,用于解决分布式系统中如何达成一致性的难题。它能够保证即使在网络故障和节点失效的情况下,系统也能达到一致性状态。然而,由于其实现复杂度较高,理解和实现起来较为...
web请求重放|幂等性问题
07-23 501
数据库保存相同的多条记录,一般从三个方面进行加固 1、端和h5做事件重复触发 缺点:各种机型和浏览器等兼容性问题会导致部分漏网之鱼,还有接口工具可能直接并发绕过常规 2、服务端做防重放处理,本次记录是服务端处理 3、数据库做唯一约束 缺点:相当于重新走了一圈服务的业务逻辑,数据库层面报错体验也不友好,服务端和数据层都增加压力 下面说下服务端的解决方案 1、token 前端+后端调整 前端请求验证后服务端保存token到session或redis里并返回给前端,前端请求时把token带回来由
Web安全 【基础】 请求防篡改和唯一请求(重放攻击)
言小溪 的博客
10-11 4760
这里给大家直接上工具 js methods: //传入json对象,和key(任意字符串,越长越好),获取md5加密 getMd5(params,key){ let str = JSON.stringify(this.sort_ASCII(params)) return this.$md5(encodeURIComponent(str+key)) } //对json 对象进行 ascii码 排序 sort_ASCII(obj) { var arr = new Array(); var num
网络信息安全之请求重放校验、防会话重放攻击
wangpf2011的博客
02-21 2214
上篇文章介绍了敏感数据如何加密传输,加密可以有效防止会话劫持,但是却防止不了重放攻击。重放攻击任何网络通讯过程中都可能发生,攻击者发送一个目的主机已经接收过的包,来达到欺骗系统的目的。这篇文件详细介绍下防止会话重放的方法和步骤,目的是防止会话请求数据包重放,保护目的主机免收攻击。 1、客户端身份认证或第一次访问时,向服务端请求当前系统时间systime; 2、客户端接收服务端返回的当前系统时间systime,并计算出与当前客户端时间clienttime的差值difftime=systime-clientt
基于timestamp和nonce的防重放攻击
Saladbobo的专栏
08-09 1382
基于timestamp和nonce的防重放攻击   以前总是通过timestamp来防止重放攻击,但是这样并不能保证每次请求都是一次性的。今天看到了一篇文章介绍的通过nonce(Number used once)来保证一次有效,感觉两者结合一下,就能达到一个非常好的效果了。 重放攻击是计算机世界黑客常用的攻击方式之一,所谓重放攻击就是攻击者发...
重放攻击
SSS_VIP的博客
09-30 1326
什么是重放攻击?   合法请求数据被获取后,再次对服务器发起请求!(重复的会话请求就是重放攻击)   参考地址:https://baike.baidu.com/item/%E9%87%8D%E6%94%BE%E6%94%BB%E5%87%BB/2229240?fr=aladdin   参考地址:https://www.cnblogs.com/shijingjing07/p/6123664.h...
谷歌浏览器怎么重发请求_使用Chrome浏览器实现请求重放即复制某个请求
热门推荐
weixin_39967120的博客
12-20 1万+
Chrome可以通过控制台实现对某个请求重放,即复制某个请求,然后自己实现对该请求的多次发送。这个功能有什么用呢?在web开发中,调试代码或者调试找bug的时候就派上用场了。使用方法如下:在Chrome上按f12打开控制台,切到Network标签页。之后进行你正常的页面操作把你想要复制的请求先通过页面发送一遍(如果页面有自动刷新的话,为了避免刷新后请求丢失的情况出现,建议勾选上Preserve ...
基于“请求重放”设计的签名方案
weixin_45987961的博客
12-21 608
1:背景 最近在跟第三方做服务对接,第三方需要调用我们的服务接口查询数据,对于暴露出去的接口,安全是很重要的,所以在做接口校验的时候一定要加上签名,这样可以有效的保护我们的接口安全 2:加密 不可能让数据在网络中裸奔,所以对于接口参数或者返回数据我们都需要进行加密处理,而对于请求方(甲方)的要求,我们必须使用国秘SM4进行加密 3:签名 除了请求参数之外,我们还需要发送过来的数据中包含签名,在我们收到请求后判断签名是否合法,如果不合法就不处理,但是会有问题,如果黑客截取了请求进行一次次重发就行了,
fiddler重放请求
qq_39111199的博客
09-20 4863
关于fiddler重放请求
记录一次小项目中的重放攻击与解决方案
fiveSix
03-31 8014
文章目录1、重放攻击简介2、重放攻击演示3、解决方案4、重放攻击验证 欢迎各位 前(提)来(出)讨(意)论(见)。 1、重放攻击简介 重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。 举个简单的小例子。 我们往系统里面插入一条数据,如果此次操作的数据包被攻击者获取,又恰巧后台没有对重复内容进行验证,那么攻击者就可以利用该数据包重复的发起请求,无限制的往数据库插入数据,即使请求包是加密的也
分布式事务的 5 种角色
07-20
分布式事务的五种角色是:发起者(Coordinator)、参与者(Participant)、协调者(Coordinator)、资源管理器(Resource Manager)和日志管理器(Log Manager)。 1. 发起者(Coordinator):发起者是事务的发起方...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值