nonce和timestamp在实际应用(新浪微博登录时传递加密信息)中的作用

最新推荐文章于 2023-12-29 10:50:24 发布

卧槽这是我的昵称吗

最新推荐文章于 2023-12-29 10:50:24 发布

阅读量2.4k

点赞数 1

本文链接：https://blog.csdn.net/u011710947/article/details/39523755

版权

这篇文章介绍了利用Nonce(随机数)和Timestamp(时间戳)来解决重放攻击(Replay-Attack)的问题。马上找了个新浪微博登录这个例子来看看随机数和时间戳的实际作用。

1、获取随机数和时间戳

登录之前，先通过GET从新浪服务器获取到了servertime和nonce

2、点击登录，先在客户端加密用户名和密码

先将用户名通过BASE64计算进行加密（图中su对应加密后的用户名）

然后将密码、随机数、时间戳进行组合，进行多次非对称加密（图中sp对应加密后的密码），比如：

SHA1(SHA1(SHA1(密码) + servertime + nonce) + "")

其中最后""的作用是为了让最后算出来的结果肯定是个字符串，servertime和nonce的作用是进行干扰，再加上多次加密，大幅增加了破解难度。

3、组合参数，发出POST请求，等待服务器验证后的结果

上面三次SHA1加密的方法，是网上搜出来的，新浪曾经可能这么干过。但现在或以后，新浪换成其他加密算法，也是很正常的事，不要过多纠结到底用的是什么算法加密，本文目的只是说下随机数和时间戳在实际应用中的例子

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

卧槽这是我的昵称吗

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

接口签名中的三位小伙伴signature,nonce,timestamp

08-03

4466

在请求一些开放平台的接口时，我们一般会在请求头中塞入一些签名相关的信息以证明身份。以微信API-V3的为例，请求头中包含的认证信息主要包含： signature(签名值) nonce(随机串) timestamp(时间戳) 本文将一步步介绍以上3个小玩意的含义和用途。关键字：公钥、私钥、...

Python模拟登陆新浪微博

m0_59485658的博客

12-14

938

使用Python编写一个模拟登陆的程序。讲解与程序如下：

参与评论您还未登录，请先登录后发表或查看评论

PHP基于timestamp和nonce实现的防止重放攻击方案分析

10-16

主要介绍了PHP基于timestamp和nonce实现的防止重放攻击方案,简单讲述了重放攻击相关原理并结合实例形式分析了php使用timestamp和nonce实现的防止重放攻击相关操作技巧,需要的朋友可以参考下

基于timestamp和nonce的防止重放攻击方案

热门推荐

koastal的博客

12-04

4万+

以前总是通过timestamp来防止重放攻击，但是这样并不能保证每次请求都是一次性的。今天看到了一篇文章介绍的通过nonce（Number used once）来保证一次有效，感觉两者结合一下，就能达到一个非常好的效果了。重放攻击是计算机世界黑客常用的攻击方式之一，所谓重放攻击就是攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程。首先要明确一个事情，重...

nonce和timestamp在Http安全协议中的作用

weixin_30585437的博客

09-03

292

前段时间给客户网站做新浪微博账号登录功能，对OAuth协议以及相关的一些安全协议做了一些研究，顺便就记录一下学习心得吧。在这里就不打算具体讲OAuth的协议流程了，而是针对OAuth请求头里的nonce（随机数）、timestamp（时间戳）、signatrue（签名）这些参数的作用做一下总结。首先看一下HTTP规范里定义的Basic认证。 Basic认证及其安全问题 Basic认证...

基于timestamp+nonce的会话重放解决方案

weixin_42728957的博客

01-08

2200

基于timestamp+nonce的会话解决方案 timestamp解决黑客抓包重放请求超过60s的情况，超过60s的请求为非法请求。 nonce（Number used once）仅一次有效的随机字符串，要求每次请求时，该参数要保证不同，所以该参数与时间戳有关。我们把每次请求的nonce参数保存在一个集合中，可以json格式存储在数据库中或缓存中，我们每次处理http请求时，首先判断该请求的no...

python使用rsa加密算法模块模拟新浪微博登录

12-25

PC登录新浪微博时，在客户端用js预先对用户名、密码都进行了加密，而且在POST之前会GET一组参数，这也将作为POST_DATA的一部分。这样，就不能用通常的那种简单方法来模拟POST登录（比如人人网）。通过爬虫获取新浪...

nonce， timestamp， signatrue在Http安全协议中的作用

xustart7720的博客

12-28

3647

OAuth协议，OAuth请求头里的nonce（随机数）、timestamp（时间戳）、signatrue（签名） Basic认证及其安全问题 Basic认证是一个流程比较简单的协议，整个过程可以分为以下三个步骤：客户端使用GET方法向服务器请求资源。服务器返回401响应码和WWW-Authentication：Basic realm=”Family”响应头要求客户端进行身份验证。其中re

Java模拟新浪微博登陆抓取数据

08-31

【Java模拟新浪微博登陆抓取数据】的实现涉及多个关键技术点，包括HTTP请求、JSON解析、RSA加密和Base64编码。...实际应用中，还需要注意处理验证码、会话管理、登录状态保持等问题，以确保完整且安全的模拟登录流程。

第三方调用时 Nonce TimeStamp Signature 这三个参数有什么用？

asfasfasgjkl的博客

06-27

1139

第三方调用时 Nonce TimeStamp Signature 这三个参数有什么用？

支付接口随机串时间戳防钓鱼效验方式

weixin_30536513的博客

08-11

372

传统进行防钓鱼的措施有3种：白名单校验，时间戳校验， IP检查 1. 白名单检查商户调用支付公司系统，其http请求的Referer字段应该是支付公司合作伙伴的某个URL链接。支付公司会收集合作伙伴的网站域名做成一个集合叫做“白名单”逻辑：1、refer为空，交易直接失败。2、refer不为空，refer域名不属于白名单列表时，失败交易2. 时间戳检查商户在发出http请求前先调用支...

时间戳加密要精确到_JS 逆向|某财经资讯 sign 签名加密分析

weixin_39916549的博客

12-04

665

目标网址：aHR0cHM6Ly93d3cuY2xzLmNuL3RlbGVncmFwaA==先打开网站，抓包发现返回数据为标准的 json 格式，甚好，乍一看很好抓取，写一个循环翻页即可，实际操作中却无法获取翻页数据，仔细查看参数，一个熟悉的字段出现了:sign，根据以往经验，sign 的值要做到每次请求都不同，大概率和时间戳有关，看来要抓数据首先得弄清楚 sign 是怎么生成的了，带着疑...

基于timestamp和nonce的防重放攻击

Saladbobo的专栏

08-09

1410

基于timestamp和nonce的防重放攻击　　以前总是通过timestamp来防止重放攻击，但是这样并不能保证每次请求都是一次性的。今天看到了一篇文章介绍的通过nonce（Number used once）来保证一次有效，感觉两者结合一下，就能达到一个非常好的效果了。重放攻击是计算机世界黑客常用的攻击方式之一，所谓重放攻击就是攻击者发...

API密钥签名认证详解，包含timestamp+nonce方案BY:Zz Apollo

ch_improve的博客

11-02

1万+

本文举例来说明API签名，并有具体实现流程，规则弄会，一通百通。本文先用一个故事举例，方便理解，然后对整个流程做了逐步分析和局部代码实现，最后把代码整合起来，想直接看整合后代码的可以直接去最底。一、故事引入签名认证原理（不要纠结为什么吃饭这么麻烦- -!）有家饭店，只对会员开放，小明在饭店注册会员...

SpringBoot 如何保证接口安全？老鸟们都是这么玩的！

最新发布

wuli1024的博客

12-29

1419

对于互联网来说，只要你系统的接口暴露在外网，就避免不了接口安全问题。

API接口如何防止参数被篡改和重放攻击？

草原孤狼的专栏

11-09

2299

好记忆不如烂笔头，能记下点东西，就记下点，有时间拿出来看看，也会发觉不一样的感受. 目前所有的系统架构都是采用前后端分离的系统架构，那么就不可能避免的需要服务对外提供API,那么如何保证对外的API的安全呢？即生鲜电商中API接口防止参数篡改和重放攻击目录 1. 什么是API参数篡改？说明：API参数篡改就是恶意人通过抓包的方式获取到请求的接口的参数，通过修改相关的参数，达到欺骗服务器的目的，常用的防止篡改的方式是用签名以及加密的方式。 2. 什么是API重发攻击？说明：API重放.

3.回调配置

weinichendian的博客

07-22

697

1、安装和配置必须的依赖 sudo yum install curl openssh-server openssh-clients postfix cronie sudo service postfix start sudo chkconfig postfix on sudo lokkit -s http -s ssh 如果运行上面的命令,发现没有安装 lokkit ,那么需要你...

以太坊实战-再谈nonce使用陷阱

程序新视界

01-14

1万+

在《以太坊实战之如何正确处理nonce》一文中我们介绍了nonce的基本概念和使用方法。也提到了它能够覆盖之前交易的特异功能。但是那只是nonce的冰山一角。今天再给大家分享在热点账户下nonce会出现的问题。热点账户所谓的热点账户就是频繁被使用的账户，在以太坊中比如交易所的统一出币账户，在短时间内频繁发起交易的账户，均可被称作热点账户。 replacement transact

python生成规定随机数,在Python中生成随机数的标准方法是什么？

weixin_42525343的博客

11-25

391

Can someone share the best practices for creating a nonce for an OAuth request in Python?解决方案Here's how python-oauth2 does it:def generate_nonce(length=8):"""Generate pseudorandom number."""return ''....

Python模拟微博登录：揭秘sp与nonce加密策略

1. 调试JavaScript代码是关键步骤，通过设置断点追踪登录过程中的函数调用，作者发现`sp`使用了RSA加密，可以通过网络请求获取到微博的RSA公钥，然后在Python代码中应用这些加密算法。 2. 对于`nonce`，作者发现它...