登录重放攻击预防

最新推荐文章于 2025-08-14 06:33:25 发布
转载 最新推荐文章于 2025-08-14 06:33:25 发布 · 5k 阅读 · 5

本文探讨了传统的密码存储与传输方式存在的安全隐患,并提出了改进的登录流程与安全策略,包括使用随机盐增加安全性,固定盐增强密码复杂度,以及加入登录验证码和账户锁定机制来提高系统的防御能力。

现在的应用系统中,大部分密码存储都是采用md5加密后存储,常用的登录基本流程如下:

 

1、前端web页面用户输入账号、密码,点击登录。
2、请求提交之前,web端首先通过客户端脚本如javascript对密码原文进行md5加密。
3、提交账号、md5之后的密码
4、请求提交至后端,验证账号与密码是否与数据库中的一致,一致则认为登录成功,反之失败。

 

上述流程看似安全,认为传输过程中的密码是md5之后的,即使被监听截取到,由于md5的不可逆性,密码明文也不会泄露。其实不然!监听者无需解密出密码明文即可登录!监听者只需将监听到的url(如:http://****/login.do?method=login&password=md5之后的密码&userid=登录账号)重放一下,即可冒充你的身份登录系统。

 

较安全的登录流程


1、进入登陆页面时,生成一个随机码(称之为盐值),在客户端页面和session中各保存一份。
2、客户端提交登录请求时,将md5之后的密码与该随机码拼接后,再次执行md5,然后提交(提交的密码=md5(md5(密码明文)+随机码))。
3、后端接收到登录请求后,将从数据库中查询出的密码与session中的随机码拼接后,md5运算,然后与前端传递的结果进行比较。


该登录方式,即使登录请求被监听到,回放登录URL,由于随机码不匹配(监听者的session中的随机码与被监听者的session中的随机码相同概率可忽略),无法登录成功。
该登录方式,由于传输的密码是原密码md5之后与随机码再次md5之后的结果,即使监听者采用暴力破解的方式,也很难解密出密码明文。

 

更安全的登录流程


考虑到密码输入的方便性,好多用户的密码都设置的很短,并且不够复杂,往往是6位数字字母组合,这样的密码md5之后保存到数据库,一旦数据库数据泄露,简单密码的md5结果很容易通过暴力破解的方式给解密出来!同时为了方便用户登录的方便性,我们的系统一般不可能要求用户设置很长、很复杂的密码!怎么办?加固定盐值


1、系统设置一个固定的盐值,该盐值最好足够复杂,如:1qaz2wsx3edc4rfv!@#$%^&**qqtrtRTWDFHAJBFHAGFUAHKJFHAJHFJHAJWRFA
2、用户注册、修改密码时,将用户的原始密码与我们的固定盐值拼接,然后做md5运算。
3、传递至后端,保存进数据库(数据库中保存的密码是用户的原始密码拼接固定盐值后,md5运算后的结果)。
4、登录时,将用户的原始密码与我们的固定盐值进行拼接,然后做md5运算,运算后的结果再拼接上我们的随机码,再次md5运算,然后提交。
5、后端接收到登录请求后,将从数据库中查询出的密码与session中的随机码拼接后,md5运算,然后与前端传递的结果进行比较。


该登录方式可以认为是很很很安全的登录方式了。

 

进一步完善

1、加登录验证码,可预防人为地暴力登录破解,为方便合法用户的正常登录,可设置密码输入错误次数达到3次后再出现验证码。

2、账户锁定,如果用户密码输入错误次数达到一定量后(如6次),则可以锁定该账号,为了方便合法用户的正常登录,可以设置成一小时后自动解锁。

转自:http://huangqiqing123.iteye.com/blog/2033014


5大技巧 vs 3大误区:SpringBoot接口如何完美防御篡改与重放攻击
java专栏
12-04 950
通过本文的详细介绍,相信你已经对SpringBoot接口如何设计防篡改和防重放攻击有了深入的理解。5大技巧和3大误区可以帮助你避免常见的安全问题,让你的接口更加安全可靠。😊😊😊如果你有任何问题或建议,欢迎在评论区留言交流哦!👋👋👋希望这篇文章能帮助你在SpringBoot开发中更加得心应手,让你的代码更加优雅和高效。如果你觉得有用,不妨分享给更多的人吧!🎉🎉🎉。
极客时间-实用密码学-10怎么防止数据重放攻击
Tom的博客
12-16 5293
为什么还要学习 CBC 模式? 不知道你是不是已经有了一个问题:既然 CBC 要退出历史舞台了,我们还学习它干什么呢? 第一个原因,CBC 的退出进程可能需要十数年才能完成。你现在工作的项目种,可能还存在 CBC 模式的大量使用。我们学习了 CBC 模式,有助于你解决现存项目的安全问题。 第二个原因,学习针对 CBC 的攻击方案, 是我们深入理解加密算法安全问题的最好的切入点。了解这些安全缺陷和攻击方案,有助于你更好地使用密码学的算法。因为,这些缺陷也可能换个面孔,出现在应用程序层面。如果你能够说清楚 CB
jwt单点登录防重放攻击
lunge1234的博客
12-11 3274
Json web token (JWT)(网络令牌), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 三个部分组成 页眉header 有效载荷playload 签名(标签)sign..
登录重放攻击_SSH是如何防御重放攻击的?
weixin_39558754的博客
01-11 467
问题描述SSH之所以能够保证安全,原因在于它采用了公钥加密。整个过程是这样的:(1)远程主机收到用户的登录请求,把自己的公钥发给用户。(2)用户使用这个公钥,将登录密码加密后,发送回来。(3)远程主机用自己的私钥,解密登录密码,如果密码正确,就同意用户登录。如果中间人在用户第二个步骤获取到这个请求,这个请求里面就包括了公钥加密密码后的字符信息。中间人发送这个请求到远程主机,远程主机就会用...
Shiro 重放攻击登录验证(密码加密加盐)
Charge8的博客
04-19 2117
1、加盐: 简单来说就是一组安全随机数。它在特定的时候,加入到密码中(一般来说是加密后的密码)。从而使密码变得更有味道(从单一简单化到复杂化),更安全。 2、对密码进行加密 盐值是一个随机数。当用户注册一个简单密码时,系统会同时生成这样一个salt,与该用户对应,保存到数据库中。 加密操作步骤: (1)注册、修改密码时,前台将 888888加密后的pwd1...
重放攻击(Replay Attacks)
weixin_33907511的博客
12-01 1399
重放攻击(Replay Attacks)1.什么是重放攻击顾名思义,重复的会话请求就是重放攻击。可能是因为用户重复发起请求,也可能是因为请求被攻击者获取,然后重新发给服务器。2.重放攻击的危害请求被攻击者获取,并重新发送给认证服务器,从而达到认证通过的目的。我们可以通过加密,签名的方式防止信息泄露,会话被劫持修改。但这种方式防止不了重放攻击。3.重放攻击的防御1)时间戳验证请求时加上客户端当前时间...
session 重放攻击_关于接口的重放攻击
weixin_30388485的博客
02-04 836
何为重放攻击攻击重放,即重复发送。指攻击人利用网络监听或其它方式抓到正常请求数据包,然后使用这个已经被服务器成功接收过的数据包,原封不动的再次发送给服务器,以达到欺骗服务器的目的。最终实现非法操作。举例:假设有这样一个登录接口:http://www.domain.com/login.do?username=zhangsan&password=md5(password)虽然这个登录接口的 ...
用通俗易懂的话来介绍加密货币的重放攻击是什么?为何说“当硬分叉发生时,两条新区块链可能受到重放攻击”?比特币和比特币现金区块链被重放攻击时会发生什么?其事件顺序是怎样的?如何预防重放攻击?比特币现金添
最新发布
oubin1991的博客
08-14 265
加密货币的"重放攻击"是指攻击者复制有效交易签名,在另一条链上重复执行交易的行为。这类攻击在硬分叉后特别容易发生,因为新旧链共享交易历史且初期交易规则可能相同。2017年BTC和BCH分叉时就面临这种风险,用户在一条链上的交易可能被复制到另一条链上执行。防范措施的核心是让两条链的交易规则不兼容,比如BCH通过SIGHASH_FORKID机制为交易签名添加专属标识,使签名只在BCH链上有效,从而阻断跨链重放。这种"专属水印"的方法有效防止了交易签名被跨链滥用。
网络安全-重放攻击(Replay Attack)
问白的博客
04-04 4390
API重放攻击(Replay Attacks)又称重播攻击、回放攻击,这种攻击会不断恶意或欺诈性地重复一个有效的API请求。攻击者利用网络监听或者其他方式盗取API请求,进行一定的处理后,再把它重新发给认证服务器,是黑客常用的攻击方式之一。
重放攻击(Replay Attacks)(高风险)
@小张小张的博客
10-12 9998
认证重放攻击(高风险) 风险级别: 高风险 风险描述: 攻击者发送一个目标主机已经接收的数据包,特别是在认证过程中,用于认证用户身份时; 风险分析: 攻击者可以使用重放攻击方式伪装成用户,冒充用户身份进行一系列操作; 重放攻击(Replay Attacks): 又称重播攻击、回放攻击;是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的; 抓包工具拦截并克隆你的请求,用克隆后的请求访问你的后台; 抓包工具可以克隆请求的所有内容(url,data,cookie,session,header等等)
【API 接口设计】重放攻击
完美世界
08-30 1396
原文:https://www.lanshiqin.com/ef4382ec/ 写了这么多接口,是否考虑过 api 接口安全问题呢? API重放攻击(Replay Attacks)又称重播攻击、回放攻击。他的原理就是把之前窃听到的数据原封不动的重新发送给接收方。HTTPS并不能防止这种攻击,虽然传输的数据是经过加密的,窃听者无法得到数据的准确定义,但是可以从请求的接收方地址分析出这些数据的作用。比如用户登录请求时攻击者虽然无法窃听密码,但是却可以截取加密后的口令然后将其重放,从而利用这种方式进行有效的攻击
登录重放攻击_针对myGovID应用程序的代码重放攻击
weixin_35048266的博客
01-11 743
点击上方蓝字关注我们1概述网络安全人员Ben Frengley和Vanessa Teague发现了,针对澳大利亚税务局(ATO)使用的myGovID应用程序的代码重放攻击。当用户尝试使用myGovID登录攻击者控制的网站时,攻击者可以立即通过myGovID,以该用户身份登录其的能力。尽管一些对协议足够了解、警惕性较高的他站点。此次攻击依赖于,恶意站点重放myGovID应用发送的4位数位代...
【五一创作】SSO单点登录 防篡改、防重放、防盗用
m0_63546281的博客
05-03 997
主要是对单点登录系统中ticket进行防篡改、防重放、防盗用的安全优化,虽然在一般的系统中其实也用不到这较为完善的方案(学校项目会进行安全检测),但也能有效提高开发人员安全意识和技能,本次专栏到此就结束了,欢迎大家补充。
【Java】如何有效防止API的重放攻击?API接口防止参数篡改?
DreamSun的博客
07-14 4222
API重放攻击(Replay Attacks)又称为重播攻击、回放攻击。它的原理就是把之前窃听到的数据原封不动的重新发送给接收方。HTTPS并不能防止这种攻击,虽然传输的数据都是经过加密的,窃听者无法得到数据的准确定义,但是可以从请求的接收方地址分析这些数据的作用。比如用户登录请求时攻击者虽然无法窃听密码,但是却可以截获加密后的口令然后将其重放,从而利用这种方式进行有效的攻击
登录重放攻击_什么是重放攻击Replay attack
weixin_33075245的博客
01-17 1232
重放(Replay)也称为重播、回放,即某个消息或数据原封不动的重新发送给接收方一次,而接收方会接受这消息或数据,当这个动作是成立时,表示接收方无法有效辨识该数据是已经收过,这将会是重放漏洞。重放攻击主要是在有区块链发生分叉之后,因为分叉后之两方都共同还保有分叉之前的数据,因此分叉之后在两边都可以做一样的交易。例如有一间蛋糕店A但是因为理念不同而分家成蛋糕店B和蛋糕店C,分家之后两家共同拥有之前客...
Web安全 - 重放攻击(Replay Attack)
小工匠
10-01 6547
重放攻击(Replay Attack)是一种网络攻击方式,攻击者通过截取并重复发送已经捕获的合法通信数据包,企图在受害者不知情的情况下冒充合法用户进行操作。这种攻击常见于不安全的网络协议中,攻击者无需破解通信内容,只需重发合法的消息即可造成安全威胁。重放攻击的潜在危害包括:未授权的交易执行、非法获取资源、数据泄露以及系统篡改等。随着网络系统的日益复杂,重放攻击仍然是一个常见的威胁,尤其是在不具备防御机制的旧协议或自定义通信方案中。使用缓存减少存储开销。利用异步处理避免阻塞主线程。
工作实战之密码防重放攻击
zengliangxi的专栏
03-01 1099
密码重放攻击:请求被攻击者获取,并重新发送给认证服务器,从而达到认证通过的目的的方式
springboot 获取登录浏览器_手把手教你,使用JWT实现单点登录
weixin_39717598的博客
10-26 1119
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案之一,今天我们一起来揭开它神秘的面纱!一、故事起源说起 JWT,我们先来谈一谈基于传统session认证的方案以及瓶颈。传统session交互流程,如下图:当浏览器向服务器发送登录请求时,验证通过之后,会将用户信息存入seesion中,然后服务器会生成一个sessionId放入cookie中,随后返回给浏览器。当浏览器再次发送...
面试官:你讲下接口防重放如何处理?
dsgdauigfs的博客
06-11 1098
具体如下。那么什么是我们理解的放重放呢简单来说就是,前端和客户端约定一个算法(比如md5),通过加密时间戳+传入字段。来起到防止重复请求的目的。然后这个时间戳可以设定为30秒,60秒过期。那么如果30秒,有人不断刷我们的接口怎么办。我们还可以新加一个字段为nonceKey,30秒内随机不重复。这个字段存放在Redis,并且30秒过期。如果下一次请求nonceKey还在redis,我就认为是重复请求,拒绝即可。以我个人的理解。防重放用处不大,其他安全措施,比如非对称的RSA验签更加有效。
什么是重放攻击?怎样防止重放攻击
12-31
### 重放攻击的概念 重放攻击是指攻击者拦截合法用户的通信数据包,并将其重新发送给接收方以冒充该用户的行为。这种攻击方式可以应用于多种场景,比如网络登录认证过程中的身份验证信息、金融交易指令等。通过这种方式,即使不知道具体内容也可以重复利用捕获到的信息完成非法操作。 为了有效应对这一威胁,在设计系统时应考虑加入防重放机制[^2]。 ### 如何预防重放攻击的安全措施 #### 使用一次性令牌 每次会话建立之初分配唯一的一次性令牌给客户端,之后每一次请求都需要附带这个令牌作为附加参数提交上去。服务端接收到后立即作废此令牌并记录下来,当再次遇到相同编号的令牌则拒绝处理相应请求。 ```python import uuid def generate_token(): """生成随机UUID字符串""" return str(uuid.uuid4()) token = generate_token() print(f"One-time token generated: {token}") ``` #### 时间戳校验 在消息体里嵌入当前时间的时间戳字段,同时设定允许的最大偏差范围Tmax。服务器在接受到来自客户端的消息时先对比其中携带的时间戳与本地实际时刻差值Δt是否超过预设阈值Tmax,一旦超出即视为异常而丢弃之。 ```python from datetime import datetime, timedelta current_time = datetime.now() # 假定最大容忍时间为5分钟 time_tolerance = timedelta(minutes=5) received_timestamp = "2023-10-08T14:48:32Z" message_time = datetime.fromisoformat(received_timestamp.replace('Z', '+00:00')) delta_t = abs((message_time - current_time).total_seconds()) if delta_t > time_tolerance.total_seconds(): print("Timestamp validation failed.") else: print("Timestamp is within acceptable range.") ``` #### 数字签名技术 采用公钥基础设施(PKI),对于每一条发出的数据都加上发送者的私钥进行加密形成数字签名一同传输过去;对方拿到以后再用对应的公开密钥解密恢复原文的同时也能确认来源的真实性及完整性不受篡改过。 ```python from cryptography.hazmat.primitives.asymmetric import rsa, padding from cryptography.hazmat.primitives import hashes private_key = rsa.generate_private_key( public_exponent=65537, key_size=2048, ) data = b"Sensitive information that needs to be signed." signature = private_key.sign( data, padding.PSS( mgf=padding.MGF1(hashes.SHA256()), salt_length=padding.PSS.MAX_LENGTH ), hashes.SHA256() ) print(f"Data has been digitally signed with length of signature being {len(signature)} bytes.") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值