重放攻击防御

最新推荐文章于 2024-07-27 15:41:28 发布
最新推荐文章于 2024-07-27 15:41:28 发布
阅读量3k 收藏 2
点赞数
分类专栏: 安全 文章标签: 安全 timestamp 重放攻击 数字签名 Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_30735061/article/details/78280177
版权

看了一篇文章:基于timestamp和nonce的防止重放攻击方案,动手用代码实现了一下,感觉还不错。

表单加载

表单加载时执行获取时间戳、随机数、数字签名并发送到客户端:

HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse resp = (HttpServletResponse) response;
String token = "security.ra.token";
// 使用请求头发送时间戳、随机数、数字签名
ModifyHttpServletRequestWrapper httpServletRequestWrapper = new ModifyHttpServletRequestWrapper(req);
long stime = System.currentTimeMillis();
String nonce = UUID.randomUUID();
String sign = getMD5(token, stime, nonce);//MD5加密(具体方法不再赘述)

httpServletRequestWrapper.putHeader("stime",String.valueOf(stime));// 时间戳
httpServletRequestWrapper.putHeader("nonce", nonce);// 随机数
httpServletRequestWrapper.putHeader("sign", sign);// 数字签名

表单提交

表单提交时验证时间戳、随机数、数字签名:

HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse resp = (HttpServletResponse) response;
String token = "security.ra.token";
//获取客户端提交的隐藏域数据
String stime = req.getParameter("stime");
String nonce = req.getParameter("nonce");
String sign = req.getParameter("sign");
token = getMD5(token, stime, nonce);//获取MD5加密的数字签名(具体方法不再赘述)
long systemTime = System.currentTimeMillis();
try {
	// 这里可优化为提前返回,避免if嵌套,导致代码不美观,可读性差
	if(token.equals(sign)) {//验证签名
		if(systemTime - Long.parseLong(stime) <= 60000) {//验证时间戳,超过60s表示超时
			if(!query(nonce)) {//验证随机数是否已存在,即查询数据库表中是否已含有此随机数,存在则说明已提交
				delete(systemTime );//删除当前时间60s以前存储的数据(具体方法不再赘述)
				add(Long.parseLong(stime), nonce, sign);//增加新的随机数数据(具体方法不再赘述)
				//满足则放行
				...
			}
		}
	}
} catch(Throwable e) {
	//打印日志...
}

对于重放攻击,斯以为这是一种比较好的解决方案,虽然仍可通过模拟客户端的方式模拟正常请求,但成本已成倍增加,得不偿失;另外,也可以考虑使用IP限制等等。

sinat_30735061
关注
专栏目录
深入理解会话重放攻击(Session Replay Attack)及其防御策略
TechEnthusiast的博客
08-29 203
会话重放攻击是指攻击者截获并重新发送之前有效的会话数据,以此来冒充合法用户,获取未经授权的访问权限或执行非法操作。
基于方向的重放攻击防御机制.docx
09-20
基于方向的重放攻击防御机制.docx
会话重放攻击
God_00的博客
06-15 2792
关注我,不迷路!:会话重放攻击(黑客常用的手段之一) 概念:重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。重放攻击在任何网络通过程都可能发生,是计算机世界黑客常用的攻击方式之一。 原理:重放攻击的基本原理就是把以前窃听到的数据原封不动地重新发送给接收方。很多
【杂记-浅谈网络安全技术之重放攻击
最新发布
叫我小虎就行了的博客
07-27 249
【杂记-浅谈网络安全技术之重放攻击
信息安全学习4. 重放攻击的概念与防范
编程圈子-谢厂节的博客
06-28 6498
一、 定义重放攻击(Replay Attacks)又称为重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程、破坏认证的正确性。 重放攻击可以由发起者、或拦截方进行。重放攻击基于网络嗅探。很多时候嗅探到的数据是加密过的,但攻击者虽然无法解密,但如果攻击者知道数据的意义,就可以发送这些数据来愚弄接收端。在物联网场景,攻击者可以利用这种攻击控制用户的
jwt重放攻击_基于JWT数据的防止重放攻击的方法及系统与流程
weixin_39872044的博客
12-19 1073
本发明涉及网络安全技术领域,具体涉及一种基于JWT数据的防止重放攻击的方法及系统。背景技术:目前,网络安全领域的技术方案对重放攻击的重视程度不够,只对JWT数据的过期时间管理,过期后需要用户重新登录。现有的技术方案仅通过控制当前JWT数据由哪个签发者颁布,时间不能晚于某个指定时间,不能早于某个指定时间以预防止重放攻击。现有的技术方案存在以下几个方面的问题:(1)针对不同签发者,签发者之间的JWT数...
怎么防止重放攻击
chunchang3909的博客
06-01 6059
第一种方法: 重放攻击是计算机世界黑客常用的攻击方式之一,所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的, 主要用于身份认证过程。 首先要明确一个事情,重放攻击是二次请求,黑客通过抓包获取到了请求的HTTP报文,然后黑客...
开放API网关实践(二) —— 重放攻击防御
javagty6778的博客
02-03 368
上一篇文章《开放API网关实践(一)》的接口设计提到timestampnonce什么是重放攻击如何防御重放攻击什么是重放, 先举个例子:打开浏览器的调试工具并访问一个网站, 在网络工具找到一个请求并右键选择Replay. 如图:上述的重放操作是接口调试比较常用的手段, 这种操作可以让我们跳过认证信息的生成过程, 直接重复发起多次有效的请求.而重放攻击是一种黑客常用的攻击手段, 又称重播攻击回放攻击, 是指攻击者发送目的主机已接收过的数据。
电动汽车CAN协议的重放攻击防御方法.pdf
09-03
电动汽车CAN协议的重放攻击防御方法 CAN(Controller Area Network)协议是当前电动汽车与充电桩之间采用的通信协议,但该协议缺乏加密功能,存在着遭到黑客重放攻击的可能。重放攻击是指攻击者通过截获和存储 ...
JiYuTrainer重放攻击
06-05
【描述】提到"JiYuTrainer是它的最新版",意味着JiYuTrainer是一个持续更新的工具,可能用于测试系统对重放攻击防御能力,或者帮助开发者了解和防止此类攻击。作为最新版本,它可能包含了改进的功能、修复的漏洞...
重放攻击
热门推荐
秋水的博客
09-06 1万+
什么是重放攻击重放攻击,web漏洞称会话重放漏洞,又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器 主机A要给主机B发送报文,重放攻击的主人可以是A,或者是攻击者C ...
重放攻击的解决方案
10-10
网络信息安全的作业。简单易懂的描述了重放攻击的概念和解决方法。
会话重放攻击与完整性校验解决方案
阿强的博客
05-03 5499
简介: 攻击者发送一个目的主机已经接收过的包,特别是在认证的过程,用于认证用户身份所接收的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的安全性。也可利用系统POST请求数据包未针对单个请求设置有效的验证参数,导致会话请求可以重放,无限制的向数据库插入海量数据,或无限制的上传文件到系统,造成资源浪费。 解决方案: 后端写个方法,生成系统当前时间,待前台调用 System.cu...
网络信息安全之请求重放校验、防会话重放攻击
wangpf2011的博客
02-21 2242
上篇文章介绍了敏感数据如何加密传输,加密可以有效防止会话劫持,但是却防止不了重放攻击重放攻击任何网络通讯过程都可能发生,攻击者发送一个目的主机已经接收过的包,来达到欺骗系统的目的。这篇文件详细介绍下防止会话重放的方法和步骤,目的是防止会话请求数据包重放,保护目的主机免收攻击。 1、客户端身份认证或第一次访问时,向服务端请求当前系统时间systime; 2、客户端接收服务端返回的当前系统时间systime,并计算出与当前客户端时间clienttime的差值difftime=systime-clientt
HTTPS入门及如何防重放攻击
为智慧地球添砖加瓦
11-03 9352
HTTPS入门HTTPS即在HTTP的基础上增加了SSL或TSL协议,其运行于会话层和表示层。SSL简介SSL(Secure Socket Layer安全套接层)以及其继承者TSL(Transport Layer Security 传输层安全)是为了网络通信安全 提供安全及数据完整性的一种安全协议。 SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的
关键会话重放攻击漏洞
seanyang_的博客
10-26 543
重放攻击又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。举一个登陆的例子:对于正常的网页登陆,流程应为 A向B提交表单,其包含账号,密码等敏感信息,在WEB端会进行md5加密,然后将加密后的结果发送到B,B在后台进行核对,如果解密后的数据与后台一致,则登陆成功。(登录怎么不能回放成功了)如果此时C截获A发送的URL,将加密后的URL直接发送到B,那么B后台也可以验证通过,这时C就可以用A的身份登陆B网站。
会话重放之防御策略、手段
慢慢
06-02 795
会话重放是一种攻击方式,攻击者利用先前记录的会话数据来重放或重新发送网络通信流量,以模拟合法用户的身份,从而绕过身份验证或欺骗目标服务器。这种攻击可以被用于窃取数据、执行未授权的操作或者伪造交易等危险行为。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值