解决会话重放问题

最新推荐文章于 2024-08-07 21:17:44 发布
最新推荐文章于 2024-08-07 21:17:44 发布
阅读量166 收藏
点赞数
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71409306/article/details/131892082
版权
文章介绍了一种针对测试过程中重复请求同一路径导致的数据库压力和会话重放问题的解决方案。通过使用时间戳并在Java中实现一个拦截器,检查请求的时间间隔,如果新请求与旧请求的时间差小于3秒,则抛出异常,否则更新时间戳。这种方法有助于防止脏数据的产生并增强系统安全性。
摘要由CSDN通过智能技术生成

代码在测试中,遇到一个安全问题,测试人员在测试中,会反复请求同一个路径,造成了数据很多脏数据,给数据库造成了压力,导致会话重放,通过时间戳的方式解决问题,话不多说,直接上代码

@Data //实体类
public class SessionReplay {

    private String requestURL;

    private Long newTime;
}


/**
 * @Description 防止会话重放拦截器注入
 **/
@Configuration
public class TimestampConfig implements WebMvcConfigurer
{
    @Autowired
    private UUIDInterceptor uuidInterceptor; // 注入拦截器对象

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(uuidInterceptor); // 注册拦截器
    }
}
@Slf4j
@Component
public class UUIDInterceptor extends HandlerInterceptorAdapter {


    private List<SessionReplay> list = new ArrayList<>();

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String newRequestURL = String.valueOf(request.getRequestURL());
        Long newTime = 0L;
        String time = request.getHeader("Time");
        if (time == null) {
            return true;
        } else {
            newTime = Long.valueOf(request.getHeader("Time"));
        }
        if (list.isEmpty()) {
            SessionReplay sessionReplay = new SessionReplay();
            sessionReplay.setRequestURL(newRequestURL);
            sessionReplay.setNewTime(newTime);
            list.add(sessionReplay);
        } else {
            for (SessionReplay sessionReplay : list) {
                String oldRequestURL = sessionReplay.getRequestURL();
                if (newRequestURL.equals(oldRequestURL)) {
                    Long oldTime = sessionReplay.getNewTime();
                    log.info("旧值:" + oldTime);
                    log.info("新值:" + newTime);
                    if (newTime - oldTime < 3000) {
                        throw new Exception("500");
                    } else {
                        sessionReplay.setNewTime(newTime);
                    }
                }

            }
            SessionReplay sessionReplay1 = new SessionReplay();
            sessionReplay1.setRequestURL(newRequestURL);
            sessionReplay1.setNewTime(newTime);
            list.add(sessionReplay1);
            return true;

        }


        return true; // 继续处理该请求
    }
}

金陵余文乐
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Tomcat 下部署若依单体应用可观测最佳实践
观测云的博客
02-26 1011
基于若依的单体应用来实现在外部 Tomcat 环境下可观测性最佳实践
若依RuoYi防止请求重复提交
踮脚敲代码
02-06 6923
使用拦截器防止请求重复提交,其实若依早已整合,利用 AOP 切面在进入方法前拦截,通过 Redis 的 key-value 键值对存储,指定 ==key+url+消息头== 来拼成字符串组成 key,使用 ==请求参数+时间== 封装 map 对象赋值 value,当 key 不存在时,则为新的请求;若存在,则对请求参数以及请求的间隔时间进行判断是否重复提交。
SpringBoot如何防止会话重放攻击呢
u013269298的博客
05-19 1402
(会话重放攻击)客户端对服务端的网络请求如果被攻击者拦截并且抓取,攻击者可以用抓取到的参数不断对接口发起重复请求,造成大量重复操作且可能产生重复数据。
会话重放攻击与完整性校验解决方案
阿强的博客
05-03 5395
简介: 攻击者发送一个目的主机已经接收过的包,特别是在认证的过程中,用于认证用户身份所接收的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的安全性。也可利用系统中POST请求数据包未针对单个请求设置有效的验证参数,导致会话请求可以重放,无限制的向数据库中插入海量数据,或无限制的上传文件到系统中,造成资源浪费。 解决方案: 后端写个方法,生成系统当前时间,待前台调用 System.cu...
会话重放之防御策略、手段
慢慢
06-02 745
会话重放是一种攻击方式,攻击者利用先前记录的会话数据来重放或重新发送网络通信流量,以模拟合法用户的身份,从而绕过身份验证或欺骗目标服务器。这种攻击可以被用于窃取数据、执行未授权的操作或者伪造交易等危险行为。
若依框架实现后端防止用户重复点击
omnipotent_wang的博客
07-28 1196
若依框架实现后端防止用户重复点击 基于自定义注解、切面、Redis实现
若依源码解析:防止表单重复提交@RepeatSubmit、RepeatableFilter、RepeatedlyRequestWrapper和RepeatSubmitInterceptor
字节叔叔
05-17 4749
若依(Ruoyi)是一款基于Spring Boot和MyBatis的开源后台管理系统,它提供了一系列的拦截器(Interceptor)用于处理请求。其中,RepeatSubmitInterceptor(重复提交拦截器)是若依系统中的一个关键拦截器,用于防止用户重复提交表单请求。在Web应用程序中,用户可能会重复提交表单,例如在点击提交按钮后多次点击或者网络延迟造成用户误以为提交未成功而再次提交。这可能导致一些问题,例如重复的数据插入或重复的业务逻辑处理。
openreplay:OpenReplay 是开发人员友好的开源会话重放
07-23
OpenReplay 是一个会话重放堆栈,可让您查看用户在您的 Web 应用程序上执行的操作,帮助您更快地解决问题。 它是 FullStory 和 LogRocket 等产品的唯一开源替代品。 会话重播。 OpenReplay 重播用户所做的事情,但...
logrocket:记录和重放用户会话以更快地修复错误
02-05
LogRocket 是一款强大的工具,专为开发者设计,用于记录和重放用户在应用程序中的实际会话,以便更快地定位和修复错误。它尤其在处理前端应用程序,如React、Angular或Vue.js项目时,能提供宝贵的洞察力。LogRocket ...
.NET添加时间戳防止重放攻击
01-03
而使用添加时间戳的方式可以解决这一问题。 private readonly string TimeStamp = ConfigurationManager.AppSettings[TimeStamp];//配置时间戳 [HttpPost] public ActionResult TestApi() { string Reque
重放攻击的解决方案
10-10
### 重放攻击的解决方案 #### 一、重放攻击的定义 重放攻击是一种常见的网络安全威胁,其基本原理是攻击者通过网络监听或其他手段截获合法用户的数据包(如认证凭据等),随后重新发送这些数据包以欺骗接收方系统...
PHP基于timestamp和nonce实现的防止重放攻击方案分析
01-02
重放攻击是计算机世界黑客常用的攻击方式之一,所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。 首先要明确一个事情,重放攻击是二次请求,黑客通过抓包获取...
ruoyi(若依前后端分离版)springboot 2.5.6 问题 解决方法
weixin_43614129的博客
04-06 6325
springboot 2.5.6 出现的问题解决方法
学习若依开源项目08xss过滤 防重复提交 全局异常处理
qq_44600359的博客
08-06 2966
xss过滤 若依这个项目采用的是http协议,这样就有可能面临着xss攻击的情况 如果是不处理的话对于项目来说是一个很大的漏洞,但有些时候前端可能会用到传入一些标签的形式来处理一些情况,这个时候是又需求的,所以也不能完全屏蔽掉。 若依这里是采用配置拦截器的方式来处理xss攻击,一旦请求被过滤器拦截,就会转入到自定义的拦截器XssFilter当中,首先解决的就是判断是否启用xss拦截器和是否需要拦截,若依这里是采用在配置文件当中填写具体信息的方式,来配置是否启用xss,是否是白名单,是否是匹配链接。按照后台填
项目安全问题,如何防止会话重放攻击和数据篡改
qq_42204033的博客
12-13 6610
项目到后期都会遇到安全测试问题,本篇整理一下博主的项目怎么解决会话重放和数据篡改问题的。 一般我们的项目中涉及增删改查操作时,前台发起请求后,攻击者利用抓包工具恶意修改客户端的请求参数,就会使服务器执行攻击者想要执行的操作。 对于增删改操作,攻击者抓包后可以无限次发起同样的请求,这样就会使服务器产生很多无用数据甚至崩溃,这就是所谓的会话重放。而对于查询操作一般不会有这个问题,因为查询并没有改变...
关键会话重放攻击漏洞
seanyang_的博客
10-26 489
重放攻击又称重播攻击、回攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。举一个登陆的例子:对于正常的网页登陆,流程应为 A向B提交表单,其中包含账号,密码等敏感信息,在WEB端会进行md5加密,然后将加密后的结果发送到B,B在后台进行核对,如果解密后的数据与后台一致,则登陆成功。(登录怎么不能回成功了)如果此时C截获A发送的URL,将加密后的URL直接发送到B,那么B后台也可以验证通过,这时C就可以用A的身份登陆B网站。
移动安全逆向实战(一)
qq_45414878的博客
05-16 941
移动安全逆向实战系列,帮你建立一个从0到1的逆向思路。
登录验证 --会话会话跟踪技术(cookie,session,jwt令牌)、 filter过滤器、interceptor拦截器相关基础知识
z1659079591的博客
05-23 497
什么是会话?在我们日常生活当中,会话指的就是谈话、交谈。在web开发当中,会话指的就是浏览器与服务器之间的一次连接,我们就称为一次会话。JWT全称:JSON Web Token (官网:https://jwt.io/)定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。Filter表示过滤器,是JavaWeb三大组件(Servlet、Filter、Listener)之一。过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能。
美股文本信息抽取
最新发布
cts618
08-07 336
美股文本信息抽取
改进的可信计算授权协议:解决安全漏洞与重叠问题
OICAP的关键创新在于引入Diffie-Hellman (DH) 密钥交换算法来生成会话密钥,这增强了协议的保密性,使得它不仅限于单一实体,而且具备抗重放攻击的能力。重放攻击是一种网络安全威胁,通过重复使用先前的通信消息来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值