重放攻擊的一點想法

http請求是短連線每次有請求接入伺服器都要重新核實一遍請求裡面使用者的身份資訊，而這個往往是通過瀏覽器的cookie來實現的目前好像這個是各種五花八門登入，實現b/s會話的基礎什麼單點登入，oauth2.0都是圍繞這個在做事只是元件數量和過濾器多少過濾條件多少的問題。

重發攻擊說的簡單點就是把你這個請求的資料報給抓下來然後在次提交一遍（當然這裡面肯定還會做手腳）這個比什麼crsf以及xss攻擊要厲害的多，另外還有一點因為在瀏覽器裡可以看到前段所有的東西所以不管你怎麼加時間戳加頭什麼的只要可以拿到你的前端提交請求的** （這部分一般是會做加密的）任你怎麼玩別人都可以看的一清二楚，這就是很多資料驗證要放在s端的原因。

因此要解決這個重放攻擊重點應該放在後端而不是在前端

s端每次有請求進來都會接受當然重放攻擊的請求也會接受，要解決重放攻擊需要解決兩件事：

1. s端需要知道這個瀏覽器是由使用者發出的

2. 再次傳送這個請求 s端可以識別並且丟棄（這個上面不應該有時間限制什麼60秒什麼的其實並不好）

這裡學過struts2.0的都會想到乙個表單令牌環的解決方法這個可以防止重複提交當然也可以阻止重放攻擊但這個需要使用struts的標籤以及服務不過現在貌似是springboot的天下了這東西用的怕是少了不是一種普遍的解決方案

但是他的機制我們可以借鑑

每次提交資料攜帶這個令牌作為s端識別的標誌如果令牌是相同的就將這個令牌銷毀並處理資料同時生成乙個新的令牌放在上下文中在呼叫表單外掛程式的時候解析struts標籤將其放入

不過現在前後端分離後端** 現在一般都不會再去解析jsp或者ftl了用的什麼node vue 後端只負責返回資料所以解決方案還要調整

以下是我想到的一種：

後端需要有乙個*** 或者過濾器對每個請求進行處理如果是 get直接放行如果是post 需要判斷某個token，這個token如果和s端如果不一致直接拒絕如果一致那麼放行並重新生成乙個新的token 覆蓋掉當前值，並做返回值一起返回個前端之後提交的時候在把這個值帶上。

第一次這個值當然是登入成功才返回的因此那個過濾器對這個登入的請求要放行

這個值只有在使用post方式的時候或者你認為有改寫資料的可能的時候才拿出來驗證其他的不用切每個只用一次用了就更新

至於這個token的儲存問題感覺直接塞進記憶體就好了或者用個快取 redis什麼的只存鍵值對而且都是字串應該佔不了多少記憶體

這個裡面只能傳圖不能畫圖實在是煩圖之後再補上

Web服務的重放攻擊的一點想法

下午在談交易類服務的時候，除了證書做數字簽名以外，也談到了重放攻擊的問題。對於重放攻擊可以通過序列號的方式來判斷。序列號從頒發角度分成 1.服務呼叫者自身頒發。2.服務提供者頒發。序列號生成方式分成兩類 1.不重複，隨機頒發。2.遞增。3.時間戳。頒發者如果選擇是服務提供者，那麼就會使得原本一次的會...

重放攻擊的一點想法

Web服務的重放攻擊的一點想法

Web服務的重放攻擊的一點想法

最近一點想法

相關推薦