Java请求中关于如何避免防重放攻击

已于 2024-03-22 23:15:51 修改
阅读量7.5k 收藏 12
点赞数 4
分类专栏: java 防重放攻击 防重放时间戳 文章标签: java 开发语言
于 2019-06-25 11:22:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42960380/article/details/93600437
版权

重放攻击介绍

防止重放攻击的方法是使用不重数

  1. 加随机数
    该方法优点是认证双方不需要时间同步,双方记住使用过的随机数,如发现报文中有以前使用过的随机数,就认为是重放攻击。缺点是需要额外保存使用过的随机数,若记录的时间段较长,则保存和查询的开销较大。
  2. 加时间戳
    该方法优点是不用额外保存其他信息。缺点是认证双方需要准确的时间同步,同步越好,受攻击的可能性就越小。但当系统很庞大,跨越的区域较广时,要做到精确的时间同步并不是很容易。)

我的做法是:
方法: 时间戳校验 + mac签名校验 双重验证
具体是:
在项目里面,当客户端请求我服务器的时候,会给我传递一些公共参数,比如客户端请求的时间戳,以及加密后的mac签名。
第一步: 我在拦截器里面拿到请求时间戳之后,转换为毫秒值,这时候我服务器端也会生成一个当前时间毫秒值,做差值比较
if((当前时间-请求时间)>60000 );//60秒
那就认为请求报文已经被拦截,正在攻击,说明此请求异常,结束请求。
如果是<60000毫秒 ,暂时认为是符合的(有疑问往下看),让请求继续往下走。
3,使用请求序列号方式(可代替mac签名)
虽然使用时间戳方式可以在一定程度上控制重放攻击,但是存在时间限制。在指定时间窗口下,任然不可避免会受到攻击。
服务器端和客户端约定一个序列号生成算法(保证全局唯一性),客户端每次请求时都需要携带请求序列号。
服务器端接到请求时,先验证序列号是否合法,不合法直接拒绝。否则查看缓存中是否已经存在过该序列号,若已经存在,表明该请求已经被处理,不允许再次调用。
本次处理完毕,将请求序列号缓存。
这样可以保证一个序列号对应的请求只会被处理一次,相对比较安全地杜绝了重放攻击。
比较时间差值:

		SimpleDateFormat simpleDateFormat = new SimpleDateFormat("yyyyMMddHHmmss");

		long req_time = simpleDateFormat.parse("20190625093842").getTime();
		long now_time =  new Date().getTime();
		
		(now_time-req_time)>60000

 在步骤一的基础上, 已经判断了时间差值, 不安全,因为一秒钟就可能被请求很多次,所以还需要进行mac验证。
   这时候我借助了cache缓存器 (CacheManager类) , 思路是:
     把客户端请求mac签名作为key,客户端请求时间戳作为value,保存到cache里面,
     cache(mac, time, cache名字)  到cache里面。
     
      此时已经保存,然后下次客户客户端请求,先根据加密后的mac签名和缓存名去cache里面取值,如果能拿到请求时间key, 不为空,就可以断定正在被重放攻击(数据重复),需要拦截下来。如果根据时间戳拿不到mac,说明正常请求,然后把正常请求的mac,请求时间戳 保存到cache里面就行了。
      ![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/58538ec638945525726de8ab46b84c66.png)
      timeToLiveSeconds="60":  缓存里60秒后会失效,这样就不会一直累加到缓存里面(当然有redis也可以借助redis).  大概就是这么个步骤。

在这里插入图片描述在这里插入图片描述
在这里插入图片描述

       											do-time:2019/6/25  
       											笔者:dk
Nice康
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
防重篡改攻击的实现(Java版)
Mango的博客
12-14 4399
防重篡改攻击的实现(Java版)
分布式-解决请求问题
ignorewho的博客
08-31 1880
请求什么是请求可能导致的问题常见的业务场景常见的解决方案基于redis实现的一种解决方案(随机数原理)源码分享 什么是请求 由于网路原因或未知异常导致的客户端不断向服务端重试同一个请求的行为可以叫做请求。 可能导致的问题 请求可能会导致出现的一些问题有:数据重复、数据不一致、服务端接口被恶意攻击直至崩溃。 常见的业务场景 分布式场景下,使用dubbo框架,dubbo微...
Web安全 【基础】 请求篡改和唯一请求(重放攻击)
言小溪 的博客
10-11 4594
这里给大家直接上工具 js methods: //传入json对象,和key(任意字符串,越长越好),获取md5加密 getMd5(params,key){ let str = JSON.stringify(this.sort_ASCII(params)) return this.$md5(encodeURIComponent(str+key)) } //对json 对象进行 ascii码 排序 sort_ASCII(obj) { var arr = new Array(); var num
重放攻击(Replay Attack)
qq_69100706的博客
04-28 469
重放攻击(Replay Attack)是一种网络攻击手段,攻击者通过捕获并重复发送有效的数据包或消息,来欺骗系统或网络,以达到未经授权的访问、操作或者获取信息的目的。这种攻击利用了信息的有效性不随时间改变这一特性,即在网络通信,一个有效且经过认证的数据包,在一段时间内重新发送依然会被系统认为是有效的。:在物联网(IoT)设备或工业控制系统,攻击者可能重控制指令,如开启或关闭某些设备,造成物理世界的操作混乱或损坏。
重放攻击
厚积薄发
03-14 669
目录 原理 解决方案 原理 重放攻击的基本原理就是把以前窃听到的数据原封不动地重新发送给接收方 解决方案 加时间戳 首先,常见的解决方案就是在请求报文里面加上时间戳,并参与加签。 当接收方收到报文,经过验签之后。 首先第一个事儿就是拿着请求的时间戳字段和本地时间做个对比。 如果时间误差在指定时间,比如 60 秒内,那么认为这个请求是合理的,程序可以继续处理。 为什么要有一个时间容错范围,能理解吧? 因为报文的传输、解密、验签是需要时间,不能假设我这一秒发出去,下一秒服务端.
JAVA实现防重攻击和接口签名
weixin_45853776的博客
07-20 1979
概念 防重攻击 重放攻击(Replay Attacks):攻击者 截取了从A发送给B的一个有效请求,然后重新发送给B,这样就获取了B应该返回给A的数据。或发起海量请求使服务器崩溃。 重放攻击的基本原理:把以前窃听到的数据原封不动地重新发送给接收方。很多时候,网络上传输的数据是加密过的,此时窃听者无法得到数据的准确意义。但如果他知道这些数据的作用,就可以在不知道数据内容的情况下通过再次发送这些数据达到愚弄接收端的目的。例如,有的系统会将鉴别信息进行简单加密后进行传输,这时攻击者虽然无法窃听密码,但他们
微信公众号获取 时间戳 随机数
Ming-code
04-12 2133
获取access_token 请求接口: https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=你的appid&secret=你的secret 请求方法: get 返回结果: access_token (有效期7200秒,必须在服务端缓存) 获取签名所需ticket 请求接口:http...
Spring Boot接口设计篡改、防重攻击详解
08-25
**基于timestamp的防重攻击** 重放攻击的关键在于限制请求的有效性,确保请求只能在特定时间内执行一次。以下是一种基于timestamp的方案: 1. **添加timestamp**:每次客户端发起HTTP请求时,需在headers...
java8看不到源码-aegis:基于SpringBoot的注解插件,实现了对接口的防重攻击,校验请求超时,校验请求签名
06-04
可以重放攻击,校验参数被修改(数字签名) ,校验请求超时 :paw_prints: | :new_moon_face: :China: 什么是宙斯盾? Aegis追求简单的框架,所以使用最新的技术,拦截每一个http请求,然后检查参数,你可以根据...
SpringBoot系列——防重与操作幂等.doc
07-13
在日常开发,我们经常会遇到需要止重复提交和操作幂等的问题,本文将记录 SpringBoot 实现简单防重与幂等的方法。 防重是指止数据重复提交,例如用户多次点击提交按钮或接口短时间内被多次调用。操作幂等...
Java生成算数运算文图片验证码
08-11
这里需要注意的是,为了重放攻击,每次生成的验证码应当是一次性的,一旦被使用,就需要失效。 在项目结构,"验证码"这个文件可能是包含源代码、资源文件(如字体文件)和说明文档的目录。源代码可能包括生成...
轻松掌握:Java实现CSDN博客请求头签名生成.zip
最新发布
04-29
首先,`x-ca-nonce`是随机字符串,用于重放攻击。它通常在每次请求时生成一个新的、唯一的值,确保每次请求都是独立且不可预测的。在Java,我们可以利用`java.util.Random`类或者`java.security.SecureRandom`...
信息安全学习4. 重放攻击的概念与
编程圈子-谢厂节的博客
06-28 6351
一、 定义重放攻击(Replay Attacks)又称为重播攻击、回攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程、破坏认证的正确性。 重放攻击可以由发起者、或拦截方进行。重放攻击基于网络嗅探。很多时候嗅探到的数据是加密过的,但攻击者虽然无法解密,但如果攻击者知道数据的意义,就可以发送这些数据来愚弄接收端。在物联网场景,攻击者可以利用这种攻击控制用户的
重放攻击(Replay Attacks)
weixin_33907511的博客
12-01 1186
重放攻击(Replay Attacks)1.什么是重放攻击顾名思义,重复的会话请求就是重放攻击。可能是因为用户重复发起请求,也可能是因为请求被攻击者获取,然后重新发给服务器。2.重放攻击的危害请求被攻击者获取,并重新发送给认证服务器,从而达到认证通过的目的。我们可以通过加密,签名的方式止信息泄露,会话被劫持修改。但这种方式止不了重放攻击。3.重放攻击御1)时间戳验证请求时加上客户端当前时间...
java通过sign签名+时间戳的方式止rest接口被恶意抓包调用和重
热门推荐
Ivan梦方舟的博客
07-26 1万+
做后端开发避免不了要写接口,最开始我们写接口是为了满足实现具体的功能,能在客户端正常调用就行了,这种接口称为裸接口,就跟一个人没有穿衣服一样,我们在家的时候当然可以这么做,肆意荡,这没关系,但是人总是要出门的,接触一些外人,这时候赤身裸体就不太好了吧。所有这时候我们要给自己穿上一件衣服。我们的接口也是一样的,一旦我们的接口上线暴露给外界了,必须要做一定的护措施,给接口穿上“一件衣服”,避免一...
增量抽取-时间戳方式实现
weixin_30538029的博客
12-10 585
----------时间戳方式抽取数据------------------------介绍:它是一种基于快照比较的变化数据捕获方式,在源表上增加一个时间戳字段,系统更新修改表数据的时候,同时修改时间戳字段的值。当进行数据抽取时,通过比较上次 抽取时间与时间戳字段的值来决定抽取那些数据。有的数据库的时间戳支持自动更新,即表的其他字段的数据发生变化时,自动更新时间戳字段。有的数据库不...
java数据包重放攻击代码实现,Web服务的重放攻击的一点想法
weixin_35765226的博客
03-10 474
下午在谈交易类服务的时候,除了证书做数字签名以外,也谈到了重放攻击的问题。对于重放攻击可以通过序列号的方式来判断。序列号从颁发角度分成:1.服务调用者自身颁发。2.服务提供者颁发。序列号生成方式分成两类:1.不重复,随机颁发。2.递增。3.时间戳。颁发者如果选择是服务提供者,那么就会使得原本一次的会话交互变成两次,增加了复杂度和失败率,因此最好选择服务调用者自身颁发。生成方式如果选择1,那么存储的...
会话重放攻击
God_00的博客
06-15 2751
关注我,不迷路!:会话重放攻击(黑客常用的手段之一) 概念:重放攻击(Replay Attacks)又称重播攻击、回攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。重放攻击在任何网络通过程都可能发生,是计算机世界黑客常用的攻击方式之一。 原理:重放攻击的基本原理就是把以前窃听到的数据原封不动地重新发送给接收方。很多
说说API的防重机制
weixin_34114823的博客
03-20 607
说说API的防重机制 我们在设计接口的时候,最怕一个接口被用户截取用于重放攻击重放攻击是什么呢?就是把你的请求原封不动地再发送一次,两次...n次,一般正常的请求都会通过验证进入到正常逻辑,如果这个正常逻辑是插入数据库操作,那么一旦插入数据库的语句写的不好,就有可能出现多条重复的数据。一旦是比较慢的查询操作,就可能导致数据库堵住等情况。 这里就有一种防重的机制来做请求验证。 timesta...
java写一段防重攻击的示例
05-11
防重攻击是一种常见的网络安全攻击,主要是为了止攻击者在网络通信过程重复发送已经发送过的请求,从而引发一些安全问题。下面是一个简单的Java代码示例,展示如何使用时间戳和随机数来重放攻击。 ```java import java.util.HashMap; import java.util.Map; public class AntiReplayAttack { private static Map<String, Long> requestMap = new HashMap<>(); public static boolean checkRequest(String requestId) { Long timestamp = requestMap.get(requestId); if (timestamp != null && System.currentTimeMillis() - timestamp <= 1000) { // 1秒内同一请求ID的请求被视为重复请求,拒绝处理 return false; } else { requestMap.put(requestId, System.currentTimeMillis()); return true; } } public static void main(String[] args) { String requestId = "123456"; boolean isValidRequest = checkRequest(requestId); System.out.println("Request " + requestId + " is valid: " + isValidRequest); } } ``` 在该示例,我们维护一个请求 ID 到请求时间戳的映射,当一个新请求到达时,我们首先检查该请求 ID 是否存在于映射表,如果存在,则检查当前时间戳与上次请求时间戳之间的时间差是否小于等于1秒。如果是,则认为这是一个重复请求,直接返回false;否则,更新请求时间戳,并返回true。 你可以根据实际需求进行调整,如增加随机数来增加安全性,或者将映射表存储在数据库以支持分布式应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值