如何防止别人抓包重放攻击

最新推荐文章于 2024-04-12 17:27:56 发布
最新推荐文章于 2024-04-12 17:27:56 发布
阅读量1.7k 收藏
点赞数 1
文章标签: python 数据库 java
原文链接:http://www.cnblogs.com/jay54520/p/6181604.html
版权

现在做过几个web项目,都用到了api,有服务器发往服务器的api,也有微信上从前端发往后端的api。然后,我在使用 Pycharm 断点时发现,如果在断点暂停时一直发送请求,那么很多请求都能执行成功。然后在不断点的正常情况下,我又使用 Charles 重复发送请求,并发设置为10,一共发100个,也有10几个请求成功了。

前端向后端发送请求

我知道csrf_token可以防止跨站攻击,但如果现在是一个恶意用户怎么办?我有一个每日签到API,调用之后,在数据库中添加对应记录,并增加积分。我先在的校验方法是,如果数据库中存在一个今天签到的记录,就返回错误。现在如果用户进行请求重放,在数据库写入记录之前发了N条记录,那么增加积分的操作就会执行N次了。

现在的思路是,看看微信的做法,它的参数中含有 timestamp 和 nonce,并进行了签名加密。以及 如何防止别人抓包重放攻击 的一些思路。

一、微信的做法(微信文档地址

  1. 验证消息的确来自微信服务器

    通过 timestamp, nonce 以及双方约定好的 token 构成一个签名,能够验证信息是否来自微信。

    在这里并不适用,因为api就是由用户调用的。

二、  如何防止别人抓包重放攻击

  希望一个包就实现, 不是反复发包。

  一个包实现并不仅仅指第一个包实现,可以是前n个失败,然后第n+1个成功了,然后就拒绝之后的包了。如果需要达成这样,我们要使能够实现的请求唯一,构建一个类似id这样,不能重复的东西。

三、 加锁

类似双十一抢购,当一个用户下单之后,就锁定5分钟等待其付款,期间拒绝其他用户的下单请求。我们能否做到,这个请求期间,针对一个 openid 的请求只进行一次,其他就在后面排队。当一个成功后,后面类似的请求就看做是失败的。

有一个同事做过类似的加锁,明天问问他(没问,现在在写新需求以及调优,还没做这个)。

问了一个同事,建议使用 redis 的 sadd 命令,如果订单号存在于 set 中,就返回失败。还有 redis 的分布式锁,他不建议使用,如果没有弄清楚分布式锁的原理。

现在回到我们最初的问题:

如何保证用户每天只能签到一次?

获取签到请求后,通过唯一值去 redis 中查找,如果存在,则说明签到过了,返回 "今日已签到"

不存在,则说明今天还没有签到,进行签到流程。

 

将上面的步骤拆开:

1. 根据用户的签到请求构建唯一值

2. 去 redis 中查询唯一值

3.1 已签到,拒绝

3.2 未签到,设置 redis,进行签到流程

 

问:为什么要储存在 redis 而不是 mysql 中?

  • 因为储存到 mysql 中太慢了,

  在储存到硬盘(mysql)的过程中,这个值是不存在的,若这时候用户再次发送签到请求,那么还是可以签到的。这就违反了"用户每天只能签到一次"

 

问:如何将数据保存到 mysql 中?

储存到 redis 后,使用异步任务将这个数据同步到 mysql。

 

问:如何确保存到 redis 就足够快?

不确保。我本地测试的时候没发现能够多次签到。

储存到 redis 的速度大于两次请求的速度就能够确保。

 

问:锁是什么?这个与锁有什么异同?

 

问:如何查找相关资料?

直接搜索后,找不到很多资料。那么我们就把问题夸大或缩小。

夸大:

搜索`秒杀`

秒杀系统架构分析与实战

 

问:能否写一个函数\装饰器\上下文管理器实现这个功能?

 

问:有没有相关的第三方库?

 

服务器向服务器发送api

一般的做法是使用AES加密待发送的内容,再使用RSA加密AES秘钥,然后将以上两个一起发送出去。令我感到疑惑的是:为什么需要使用RSA加密AES秘钥并传输,一开始两边约定好一个AES秘钥不就可以了吗?

所以我现在的做法就是,两边约定好AES KEY,然后使用AES加解密内容,并对解密后的内容进行校验。

 

在一个抽奖功能中又遇到了库存的问题

需求:存在 N 种不同的抽奖奖品,抽奖的概率与各奖品的实时数量成正比。希望把所有的奖品发放完毕,又不希望超卖。奖品库存总量变为 0 后,固定返回一种奖品。

比如有3中商品,数量为 A:10, B: 20 C: 70。 则开始时抽中 A 的概率为 (10)/(10+20+70) = 10%,

抽中 A 后, 数量变为 A: 9, B: 20 C: 70,则 A 的概率变为 9 / (9 + 20 + 70)

应用场景:现场抽奖。

 

综合我的需求与实现难度,决定使用 django transaction + select_for_update 

发现的问题:

select_for_update  只锁了行,能读不能写,会造成超卖;

解决

使用MySQL表锁

LOCK TABLE business_bankcard READ;
LOCK TABLE business_bankcard WRITE;

# 其他代码

UNLOCK TABLES;

上面的写法有问题

LOCK TABLES table_name WRITE;

# 其他代码

UNLOCK TABLES

因为 WRITE 的含义就是不可读、不可写

OptionDescription
READRead lock, no writes allowed
READ LOCALRead lock, but allow concurrent inserts
WRITEExclusive write lock. No other connections can read or write to this table
LOW_PRIORITY WRITEExclusive write lock, but allow new read locks on the table until we get the write lock.
WRITE CONCURRENTExclusive write lock, but allow READ LOCAL locks to the table.

出处:LOCK TABLES and UNLOCK TABLES

 

锁表的注意事项

注意解锁

注意异常之后的解锁

比如捕捉异常后,解锁,再抛出异常

 

更好的方法

同事建议使用分布式锁

redis 单机锁

 

参考: 

如何解决秒杀的性能问题和超卖的讨论 

 select for update 带来的性能问题

测试

如何测试。设置库存数量后,使用  timesleep 模拟并发的现象

 

参考:

(未看,待整合)Web大规模高并发请求和抢购的解决方案

(从上面这篇文章中可以了解到,要吸收强者的经验,秒杀与抢购还有比12306和淘宝更多的吗?看看他们是怎么实现的吧!)

 

日请求从百万到八亿的技术历程

(规模性的东西还是大公司牛叉)

 

程序员对比在大公司和创业公司的工作和报酬

如果你关心你做某件事后产生的实际效果,在大公司绝对是有更大的实际效果,归因于大公司的规模。如果我是在一家创业公司做我当前的工作,获得的收益大约是每月 1 万美元。我没什么好蔑视,但这都支付不起我的工资。但是同样的事情在大公司创造的收益会是1万美元的1000倍以上。在大公司有更大的实际效果因为它的规模很大。这里的推论是小公司很小以至于他们很容易对自身造成影响,尽管这个影响值本身很小。我感觉不到我做的事情对大公司会产生促进还是阻碍的作用。但是当我在小公司时,看起来我们所做的事情可以影响整个公司的命运。

转载于:https://www.cnblogs.com/jay54520/p/6181604.html

weixin_30642869
关注
php开发中如何防止抓包工具伪造请求
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
04-14 602
防止抓包工具伪造请求,采取一系列的技术和策略来增强应用程序的安全性。
重放攻击的解决方案
10-10
网络信息安全的作业。简单易懂的描述了重放攻击的概念和解决方法。
怎么防止重放攻击
chunchang3909的博客
06-01 6082
第一种方法: 重放攻击是计算机世界黑客常用的攻击方式之一,所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的, 主要用于身份认证过程。 首先要明确一个事情,重放攻击是二次请求,黑客通过抓包获取到了请求的HTTP报文,然后黑客...
网络安全——防止抓包
CSDN_430422的博客
06-29 1281
安全套接字层 (Secure Socket Layer, SSL) 是用来实现互联网安全通信的最普遍的标准。Web 应用程序使用 HTTPS(基于 SSL 的 HTTP),HTTPS 使用数字证书来确保在服务器和客户端之间进行安全、加密的通信。在 SSL 连接中,客户机和服务器在发送数据之前都要对数据进行加密,然后由接受方对其进行解密。
Ios应用网络安全之https
weixin_33901926的博客
01-14 256
戴维营教育原创文章,转载请注明出处。我们的梦想是做最好的iOS开发培训!iOS应用网络安全之HTTPS1. HTTPS/SSL的基本原理安全套接字层 (Secure Socket Layer, SSL) 是用来实现互联网安全通信的最普遍的标准。Web 应用程序使用 HTTPS(基于 SSL 的 HTTP),HTTPS 使用数字证书来确保在服务器和客户端之间进行安全、加密的通信...
重放攻击解决方案
qq_38248841的博客
04-12 561
就是双方在报文中添加一个逐步递增的整数,只要接收到一个不连续的流水号报文(太大或太小),就认定有重放威胁。该方法优点是不需要时间同步,保存的信息量比随机数方式小。缺点是认证双方需要准确的时间同步,同步越好,受攻击的可能性就越小。但当系统很庞大,跨越的区域较广时,要做到精确的时间同步并不是很容易。已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。中有以前使用过的随机数,就认为是重放攻击。缺点是需要额外保存使用过的随机数,若记录的时间段较长,则保存和查询的开销较大。
基于GNU Radio和HackRF的重放攻击实验
weixin_44000630的博客
04-11 609
实验目标:通过重放攻击完成对电瓶车的窃取 主要展示使用重放的攻击方式,对无线电策略进行破坏
[红日安全]Web安全Day10 - 重放攻击实战攻防
hongrisec的博客
03-05 582
本文由红日安全成员: misakikata 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法(手工测试,工具测试)-靶场测试(分为PHP靶场、JAVA靶场、P...
IpTool网络抓包工具.rar
07-01
IpTool网络抓包工具是一款专为网络诊断和分析设计的应用程序,它可以帮助用户捕获、查看和分析网络数据包,从而深入理解网络通信的过程。在IT领域,网络抓包是解决网络问题、优化网络性能、排查安全问题以及进行网络...
抓包paros-1工具
10-14
**标题解析:** "抓包paros-1工具" 指的是Paros Proxy,它是一个基于Java的网络代理服务器,主要用于网络安全测试和Web应用程序的调试。Paros提供了抓包和分析HTTP/HTTPS流量的功能,是开发人员和安全专家常用的工具...
PHP基于timestamp和nonce实现的防止重放攻击方案分析
01-02
本文实例讲述了PHP基于timestamp和nonce实现的防止重放攻击方案。分享给大家供大家参考,具体如下: 以前总是通过timestamp来防止重放攻击,但是这样并不能保证每次请求都是一次性的。今天看到了一篇文章介绍的通过nonce(Number used once)来保证一次有效,感觉两者结合一下,就能达到一个非常好的效果了。 重放攻击是计算机世界黑客常用的攻击方式之一,所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。 首先要明确一个事情,重放攻击是二次请求,黑客通过抓包获取到了请求的HTTP报文,然后黑客自己编写了一个类似的HTTP
怎么解决重放攻击
weixin_42576467的博客
01-13 944
重放攻击可以通过使用一些防御措施来解决。其中一种方法是使用时间戳或序列号,在每次请求中都包含一个唯一的时间戳或序列号,服务器检查这些值是否已经使用过。另一种方法是使用非对称加密算法,在发送数据之前对其进行加密,并在接收到数据后使用相应的私钥进行解密。还有一种方法是使用数字签名,数字签名可以验证数据是否是发送者发送的。 ...
重放攻击拦截解决方案
Moonfreeze的博客
07-12 1331
假设页面A提交时有重放攻击风险,我们在进入这个页面前生成serialNo,存入redis(key=serialNo,value=证件号/订单号...),然后放入页面里。如果再重新发送请求的话如果serialNo不变或不存在就会被拦截住。页面提交时,从请求中取到这个serialNo,去redis校验是否存在和redis的值存入是否正确。所以我们需要在每次请求前加入一个参数(唯一随机)serialNo。响应失败后无需在redis删掉serialNo,可重复请求。个人理解为:相同的请求数据重复请求多次。
千万流量秒杀系统-Web 安全:如何解决重放攻击和 XSS 注入?
LLH
01-11 1320
Web 安全风险有哪些? 作为软件工程师,我们通常需要注意哪些 Web 安全风险呢?我的建议是,可以参考 OWASP Top 10 。 什么是 OWASP 呢?OWASP 是 Open Web Application Security Project 的缩写,它是一个组织,中文名称叫“开放式Web应用程序安全项目”。OWASP 每年都会发布排名前十的 Web 安全风险,也就是前面提到的 OWASP Top 10 。比如 2020 年 OWASP Top 10 如下: 注入 失效身份验证和会话管理 敏感信息
ios开发防止App被抓包(一句话实现iOS应用底层所有网络请求拦截(如ajax请求拦截),包含http-dns解决方法,有效防止DNS劫持,用于分析http,https请求,禁用/允许代理,防抓包)
qq_38836717的博客
10-14 2081
ZXRequestBlock github地址 安装 通过CocoaPods安装 pod 'ZXRequestBlock' 手动导入 将ZXRequestBlock拖入项目中。 导入头文件 #import "ZXRequestBlock.h" 使用方法 拦截全局请求 [ZXRequestBlock handleRequest:^NSURLRequest *(NSURLRequest *r...
防止数据抓包窃取
weixin_44969136的博客
09-20 1433
简述:当用户登录时,恶意gj者可以用抓包工具可以拿到用户提交的表单信息,可以获取用户的账号密码,进而可以恶意访问网站。
加密解密(12)重放攻击及解决方案
banyinlve3147的博客
08-27 884
简陋的加密密码的方法:   如http传输时   1,客户端把密码只用了sha1,md5等加密,得到X1,把它传给服务器.   2,服务器把本地正确的密码用相同的sha1,md5得到X2   3,服务器若X1 = X2那么客户传来的密码正确, 重放攻击:   这种方法有漏洞,若某人截取X1,就算不知道正确密码,每次用它就可通过认证. 简单解决方案:   1,服务器先把一个...
ajax如何防止数据盗用,Ajax如何防止数据盗用?
weixin_39878698的博客
08-05 524
方法如下:服务器生成一个token(比如 md5(key+ip+date),这个规则只有管理员知道)与html一起下发给用户,然后由用户浏览器发起ajax请求,同时附加之前服务器生成的token,服务器判断来源网站域名+token正确后给用户发回数据。1、前端显示页面的时候后端输出一个唯一的签名;2、Ajax 从前端发起请求到后端获取数据时需传递效验参数,后端再效验签名不知道这个思路能否满足你的需...
记录一次小项目中的重放攻击与解决方案
fiveSix
03-31 8163
文章目录1、重放攻击简介2、重放攻击演示3、解决方案4、重放攻击验证 欢迎各位 前(提)来(出)讨(意)论(见)。 1、重放攻击简介 重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。 举个简单的小例子。 我们往系统里面插入一条数据,如果此次操作的数据包被攻击者获取,又恰巧后台没有对重复内容进行验证,那么攻击者就可以利用该数据包重复的发起请求,无限制的往数据库插入数据,即使请求包是加密的也
kali重放攻击实验
最新发布
04-15
- 使用Kali Linux中的抓包工具(如Wireshark)来捕获目标设备的通信数据包。 - 分析捕获到的数据包,了解通信协议和数据格式。 3. 重放攻击: - 使用Kali Linux中的工具(如Scapy)来修改并重放捕获到的数据包。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值