JAVA实现防重放攻击和接口签名

最新推荐文章于 2024-07-04 21:49:41 发布
最新推荐文章于 2024-07-04 21:49:41 发布
阅读量2k 收藏 6
点赞数
分类专栏: 杂录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45853776/article/details/107466172
版权

文章目录

防重放攻击参考自:百度百科 和 博客https://blog.csdn.net/yuandeng1024/article/details/98939276

防重放攻击

重放攻击(Replay Attacks):攻击者 截取了从A发送给B的一个有效请求,然后重新发送给B,这样就获取了B应该返回给A的数据。或发起海量请求使服务器崩溃。

重放攻击的基本原理:把以前窃听到的数据原封不动地重新发送给接收方。很多时候,网络上传输的数据是加密过的,此时窃听者无法得到数据的准确意义。但如果他知道这些数据的作用,就可以在不知道数据内容的情况下通过再次发送这些数据达到愚弄接收端的目的。例如,有的系统会将鉴别信息进行简单加密后进行传输,这时攻击者虽然无法窃听密码,但他们却可以首先截取加密后的口令然后将其重放,从而利用这种方式进行有效的攻击。再比如,假设网上存款系统中,一条消息表示用户支取了一笔存款,攻击者完全可以多次发送这条消息而偷窃存款(百度百科)

常用的防止重放攻击策略主要分为以下几种:

  • 基于 加时间戳的方案:在请求中增加时间戳参数要来表示请求时间戳,服务方端接收该请求后,根据当前时间生成一个接收时间戳,然后根据两个时间戳的差值进行请求判定,如果差值大于指定的阈值,则认为请求无效,否则请求通过。关于阈值的选定,可以根据接口的响应速度进行适当的调整,一般默认为 60 秒。缺点:通过上面的判定逻辑可以发现,在小于阈值的时间段内是可以进行重复请求的,该方案不能保证请求仅一次有效。
  • 基于 token 的方案:在请求中增加一个通过指定规则产生的 token,标识请求的唯一性,服务方接收该请求后,先判断缓存集合中是否存在该 token,如果存在则认为此次请求无效,否则将 token 放入缓存中,通过请求通过。缺点:token 存在于缓存中,而且没有有效期设置,随着请求量的增加,缓存集合中 token 的数量会非常庞大,会占用系统的大量内存。
  • 基于 时间戳和 token 的方案:时间戳解决 token 方案中缓存集合数据量大的问题,token 解决 时间戳方案中一次性访问的问题。
     
     
    现在一般都是采用第三种方案,这里也采用第三种 基于 时间戳和 token 的方案,逻辑代码如下:
if((接收时间戳-请求时间戳) > 60){
"请求失败"
} 
if(token 存在于缓存集合中){
"请求失败"
} else {
将 token 放入集合中,缓存时间60"请求通过"
}

在上面我们队请求进行了出来,来防止重放攻击,但是当攻击者可以通过对请求数据的修改,来规避我们的这些规则,因此我们就需要添加接口签名功能,来防止数据被篡改。

接口签名

接口签名实现流程:

  1. 将参数+时间戳+随机字符串按照某种顺序进行拼接
  2. 通过加密技术进行加密,比如RSA
  3. 将明文和密文都发送到服务端
  4. 在服务端通过key对密文进行解密
  5. 将解密后的数据与明文数据进行比较
  6. 比较结果一致表示没有被篡改,否则表示数据被篡改过
海洋饼干.
关注
专栏目录
重放、篡改攻击的实现Java版)
Mango的博客
12-14 4665
重放、篡改攻击的实现Java版)
重放攻击实践
anlanba的博客
03-11 2656
曾今做API网关项目的时候,遇到过重放攻击,这是一种比较常见的攻击。那什么是重放攻击? 百度百科:重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。重...
Java基础之《接口安全—止篡改和重放》
csj50的专栏
12-21 2566
只要api接口放在公网上暴露,就会有被攻击的风险,所以需要做好接口安全 一、止篡改 1、什么是篡改 接口篡改是指通过http抓包获取api接口请求参数,然后篡改api参数的内容,重新发送api请求。比如发送短信验证码、增加积分等 2、如何实现请求接口止篡改 1)采用https方式加密传输,通过抓包就获取不到请求参数,缺点是成本高 2)后台对接口参数进行签名验证,报文头增加sign字段 3、验证的步骤 1)服务端和客户端约定好加密规则 2)客户端按照约定对报文加密(或者签名),获得签名值sign1
java8看不到源码-aegis:基于SpringBoot的注解插件,实现了对接口重放攻击,校验请求超时,校验请求签名
06-04
java8 看不到源码 基于Java8 + Spring Boot打造Http请求拦截验证框架 :face_savoring_food: 花10分钟学会它做点什么,它会帮你检查Http Request参数。 可以重放攻击,校验参数被修改(数字签名) ,校验请求超时 :paw_prints: | :new_moon_face: :China: 什么是宙斯盾? Aegis追求简单的框架,所以使用最新的技术,拦截每一个http请求,然后检查参数,你可以根据需要改变每一个检查策略。 如果你喜欢尝试一些有趣的东西,我相信你会喜欢的。 如果你觉得这个项目不错可以支持一下 :smiling_face_with_smiling_eyes: 快速开始 使用Maven运行: 创建一个基本的Maven项目 < dependency > < groupId >com.github.com.erictao2</ groupId > < artifactId >aegis-api</ artifactId > < version >1.0.1</ version > </ dependency > 您必须在项目中使用 Spirng Boot。 然后在你的Controller或Method添加注解,具体注解使用请参考文档! 内容 宙斯盾注解 现在 Aegis 有 3
JAVA:文件重设计指南
最新发布
木头
07-04 351
JAVA:文件重设计指南
API接口止参数篡改和重放攻击
Little SunShine
08-17 1万+
API重放攻击(Replay Attacks)又称重播攻击、回放攻击。他的原理就是把之前窃听到的数据原封不动的重新发送给接收方。HTTPS并不能止这种攻击,虽然传输的数据是经过加密的,窃听者无法得到数据的准确定义,但是可以从请求的接收方地址分析出这些数据的作用。比如用户登录请求时攻击者虽然无法窃听密码,但是却可以截取加密后的口令然后将其重放,从而利用这种方式进行有效的攻击。 所谓重放...
重放攻击(Replay Attacks)
weixin_33907511的博客
12-01 1219
重放攻击(Replay Attacks)1.什么是重放攻击顾名思义,重复的会话请求就是重放攻击。可能是因为用户重复发起请求,也可能是因为请求被攻击者获取,然后重新发给服务器。2.重放攻击的危害请求被攻击者获取,并重新发送给认证服务器,从而达到认证通过的目的。我们可以通过加密,签名的方式止信息泄露,会话被劫持修改。但这种方式止不了重放攻击。3.重放攻击御1)时间戳验证请求时加上客户端当前时间...
Java】如何有效止API的重放攻击?API接口止参数篡改?
DreamSun的博客
07-14 3103
API重放攻击(Replay Attacks)又称为重播攻击、回放攻击。它的原理就是把之前窃听到的数据原封不动的重新发送给接收方。HTTPS并不能止这种攻击,虽然传输的数据都是经过加密的,窃听者无法得到数据的准确定义,但是可以从请求的接收方地址分析这些数据的作用。比如用户登录请求时攻击者虽然无法窃听密码,但是却可以截获加密后的口令然后将其重放,从而利用这种方式进行有效的攻击。
接口签名重放详细开发文档(接口安全)
AdleyTales的技术博客
06-27 1万+
接口签名重放详细开发文档 公共参数 参数名称 是否必填 参数描述 nonce 是 唯一值,用来标识接口请求的唯一性,例如使用UUID值,示例:40A6A065-4DB7-4999-8F7F-F6D051D9B02C timestamp 是 时间戳,从1970年1月1日据当前时间的毫秒数 示例:1529373808 vId ...
springboot实现接口签名
06-06
在IT行业中,接口签名是一种确保数据安全传输的重要机制,特别是在微服务架构中,如Spring Boot应用与...通过合理的接口签名设计和实现,可以有效保障微服务之间的数据交换安全,止中间人攻击和其他潜在的安全威胁。
基于timestamp和nonce的重放攻击方案
热门推荐
koastal的博客
12-04 4万+
以前总是通过timestamp来重放攻击,但是这样并不能保证每次请求都是一次性的。今天看到了一篇文章介绍的通过nonce(Number used once)来保证一次有效,感觉两者结合一下,就能达到一个非常好的效果了。 重放攻击是计算机世界黑客常用的攻击方式之一,所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。 首先要明确一个事情,重...
java数据包重放攻击代码实现,Web服务的重放攻击的一点想法
weixin_35765226的博客
03-10 502
下午在谈交易类服务的时候,除了证书做数字签名以外,也谈到了重放攻击的问题。对于重放攻击可以通过序列号的方式来判断。序列号从颁发角度分成:1.服务调用者自身颁发。2.服务提供者颁发。序列号生成方式分成两类:1.不重复,随机颁发。2.递增。3.时间戳。颁发者如果选择是服务提供者,那么就会使得原本一次的会话交互变成两次,增加了复杂度和失败率,因此最好选择服务调用者自身颁发。生成方式如果选择1,那么存储的...
java攻击_Java请求中关于如何避免重放攻击
weixin_34611130的博客
02-12 2274
重放攻击介绍重放攻击的方法是使用不重数加随机数该方法优点是认证双方不需要时间同步,双方记住使用过的随机数,如发现报文中有以前使用过的随机数,就认为是重放攻击。缺点是需要额外保存使用过的随机数,若记录的时间段较长,则保存和查询的开销较大。加时间戳该方法优点是不用额外保存其他信息。缺点是认证双方需要准确的时间同步,同步越好,受攻击的可能性就越小。但当系统很庞大,跨越的区域较广时,要做到精确的时间同...
记录-java开发API接口重放攻击和参数篡改
yuandeng1024的博客
08-09 4725
重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。重放攻击在任何网络通过程中都可能发生,是计算机世界黑客常用的攻击方式之一。 例子:入侵者从网络上截取主...
API接口重放
Frankltf的博客
08-03 299
背景 • API接口由于需要供第三方服务调用,所以必须暴露到外网,并提供了具体请求地址和请求参数 为了止被第别有用心之人获取到真实请求参数后再次发起请求获取信息,需要采取很多安全机制; 安全策略 • 1.首先: 需要采用https方式对第三方提供接口,数据的加密传输会更安全,即便是被破解,也需要耗费更多时间 • 2.其次:需要有安全的后台验证机制【本文重点】,达到参数篡改+二次请求...
API接口重放
CHENJINGBIN的博客
10-06 4756
我们在设计API接口时,最怕的莫过于同一个接口给用户截获重放提交,那什么是重放提交:对同一个请求发送多次到后台,对系统产生异常影响。 应对的策略有: 1使用时间戳timestamp。 2使用nonce,什么是nonce呢? nonce = MD5(timestampe+rand(0,1000)) 3使用timestamp+nonce 通常是使用第三种的方法去处理。 服务端 1第一次接受请求,对请求...
《优化接口设计的思路》系列:第六篇—接口抖(重复提交)的一些方式
summon的博客
12-05 2249
大家好!我是sum墨,一个一线的底层码农,平时喜欢研究和思考一些技术相关的问题并整理成文,限于本人水平,如果文章和代码有表述不当之处,还请不吝赐教。作为一名从业已达六年的老码农,我的工作主要是开发后端Java业务系统,包括各种管理后台和小程序等。在这些项目中,我设计过单/多租户体系系统,对接过许多开放平台,也搞过消息中心这类较为复杂的应用,但幸运的是,我至今还没有遇到过线上系统由于代码崩溃导致资损的情况。这其中的原因有三点:一是业务系统本身并不复杂;
Java编程:API接口重放攻击(重复攻击)
天将降大任于是人
08-05 1万+
定义
Spring Boot接口安全护:篡改与重放攻击策略
本文主要探讨了在Spring Boot应用中如何设计接口止篡改和重放攻击,提供了详细的实现策略和示例代码。 在Spring Boot接口设计中,止篡改和重放攻击是非常重要的安全措施。针对这两个问题,我们可以采取以下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值