防重放、防篡改攻击的实现(Java版)

原创 已于 2022-12-15 11:14:02 修改 · 5.1k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #服务器 #安全

于 2022-12-14 15:22:14 首次发布
本文介绍了重放攻击和篡改攻击的概念,通过模拟这两种攻击展示了其实施方式。针对这些问题,文章提出了使用timestamp、nonce、公钥私钥等方案,并在老项目(framework7+Spring+SpringMVC+Ibatis)中实践了私钥签名和公钥验签的方法。然而,考虑到实现中的问题和高成本,最终选择了Redis+令牌的优化方案,详细阐述了其实现原理及可能的优化点。文章强调了在选择解决方案时要考虑项目的实际情况和需求。

文章目录

一、问题描述

1、什么是重放攻击、篡改攻击?

1、重放攻击:请求被攻击者获取,并重新发送给认证服务器,从而达到认证通过的目的。
2、篡改攻击:请求被攻击者获取,修改请求数据后,并重新发送给认证服务器,从而达到认证通过的目的。

2、如何模拟重放攻击、篡改攻击?

2.1、重放攻击模拟方式

1、使用谷歌浏览器的F12工具,在“网络”中任意找一个已经发送过的请求,鼠标右键这个请求,就可以看到“重放XHR”选项了,这个就是请求重放,即:重新发送一次该请求。如下图所示:

在这里插入图片描述

2、借助抓包工具,例如:Fiddler。这里以Fiddler为例,打开Fiddler找到刚刚的请求,鼠标右键可以看到“Replay->Reissue Requests”选项,这个就是重放请求。如下图所示:

在这里插入图片描述

2.2、篡改攻击模拟方式

由于浏览器的局限性,并不是所有浏览器都提供修改请求的工具的。这里就以Fiddler为例,打开Fiddler找到刚刚的请求,鼠标右键可以看到“Replay->Reissue and Edit”选项,这个就是篡改请求。如下图所示:

最低0.47元/天 解锁文章
SpringBoot接口安全加固:防篡改防重放攻击的实战策略
墨夶的博客
11-28 1166
在当今的网络环境中,API接口的安全至关重要。SpringBoot作为轻量级的Java企业级应用框架,提供了多种机制来保护接口免受篡改和重放攻击。本文将深入探讨如何在SpringBoot中设计接口以防止数据篡改和重放攻击,确保接口的安全性和数据的完整性。
接口防篡改+防重放攻击
Java后端技术栈
01-18 3221
nonce的意思是仅一次有效的随机字符串,要求每次请求时该参数要保证不同。实际使用用户信息+时间戳+随机数等信息做个哈希之后,作为nonce参数。如果没有,则创建这个key,把这个key失效的时间和验证timestamp失效的时间一致,比如是60s。如果有,说明这个key在60s内已经被使用了,那么这个请求就可以判断为重放请求。去redis中查找是否有key为nonce:{nonce}的string。
数据安全(反爬虫)之「防重放」策略
Candour_0的博客
02-21 1055
数据安全(反爬虫)之「防重放」策略
字节面试官:你觉得HTTPS能防止重放攻击吗?
m0_69745415的博客
04-19 343
key_block 密钥块(有的文章把这个东西称为会话密钥) 先大致有个印象,继续往下阅读 现在我们已经有三个参数client_random,pre_master_secret,server_random,服务端和客户端分别会根据这三个参数,推导出master_secret,一旦master_secret被推导出来,会立刻删除pre_master_secret。(摘自rfc2246,section8.1) 当master_secret计算出以后,立刻计算key_block(摘自rfc2246,secti.
Java】如何有效防止API的重放攻击?API接口防止参数篡改?
DreamSun的博客
07-14 4249
API重放攻击(Replay Attacks)又称为重播攻击、回放攻击。它的原理就是把之前窃听到的数据原封不动的重新发送给接收方。HTTPS并不能防止这种攻击,虽然传输的数据都是经过加密的,窃听者无法得到数据的准确定义,但是可以从请求的接收方地址分析这些数据的作用。比如用户登录请求时攻击者虽然无法窃听密码,但是却可以截获加密后的口令然后将其重放,从而利用这种方式进行有效的攻击
Java编程:API接口防止重放攻击(重复攻击
热门推荐
天将降大任于是人
08-05 1万+
定义
Spring Boot接口设计防篡改防重放攻击详解
08-25
**基于timestamp的防重放攻击** 防止重放攻击的关键在于限制请求的有效性,确保请求只能在特定时间内执行一次。以下是一种基于timestamp的方案: 1. **添加timestamp**:每次客户端发起HTTP请求时,需在headers中...
【SpringBoot】之接口设计防篡改防重放攻击
王廷云的博客
09-12 6423
本文讲解JavaWeb开发过程中可能出现的接口被拦截和参数被篡改的问题;然后介绍了如何进行有效安全防范;最后介绍了如何通过参数加密和签名校验的方式进行有效防范。
java攻击_Java请求中关于如何避免防重放攻击
weixin_34611130的博客
02-12 2407
重放攻击介绍防止重放攻击的方法是使用不重数加随机数该方法优点是认证双方不需要时间同步,双方记住使用过的随机数,如发现报文中有以前使用过的随机数,就认为是重放攻击。缺点是需要额外保存使用过的随机数,若记录的时间段较长,则保存和查询的开销较大。加时间戳该方法优点是不用额外保存其他信息。缺点是认证双方需要准确的时间同步,同步越好,受攻击的可能性就越小。但当系统很庞大,跨越的区域较广时,要做到精确的时间同...
java】API接口防重放机制研究
最新发布
yh
01-22 1096
重放验证测试、nonce timestamp
java8看不到源码-aegis:基于SpringBoot的注解插件,实现了对接口的防重放攻击,校验请求超时,校验请求签名
06-04
java8 看不到源码 基于Java8 + Spring Boot打造Http请求拦截验证框架 :face_savoring_food: 花10分钟学会它做点什么,它会帮你检查Http Request参数。 可以防御重放攻击,校验参数被修改(数字签名) ,校验请求超时 :paw_prints: | :new_moon_face: :China: 什么是宙斯盾? Aegis追求简单的框架,所以使用最新的技术,拦截每一个http请求,然后检查参数,你可以根据需要改变每一个检查策略。 如果你喜欢尝试一些有趣的东西,我相信你会喜欢的。 如果你觉得这个项目不错可以支持一下 :smiling_face_with_smiling_eyes: 快速开始 使用Maven运行: 创建一个基本的Maven项目 < dependency > < groupId >com.github.com.erictao2</ groupId > < artifactId >aegis-api</ artifactId > < version >1.0.1</ version > </ dependency > 您必须在项目中使用 Spirng Boot。 然后在你的Controller或Method添加注解,具体注解使用请参考文档! 内容 宙斯盾注解 现在 Aegis 有 3
Java基础之《接口安全—防止篡改和重放》
csj50的专栏
12-21 2870
只要api接口放在公网上暴露,就会有被攻击的风险,所以需要做好接口安全 一、防止篡改 1、什么是篡改 接口篡改是指通过http抓包获取api接口的请求参数,然后篡改api参数的内容,重新发送api请求。比如发送短信验证码、增加积分等 2、如何实现请求接口防止篡改 1)采用https方式加密传输,通过抓包就获取不到请求参数,缺点是成本高 2)后台对接口参数进行签名验证,报文头增加sign字段 3、验证的步骤 1)服务端和客户端约定好加密规则 2)客户端按照约定对报文加密(或者签名),获得签名值sign1
记录-java开发API接口防止重放攻击和参数防篡改
yuandeng1024的博客
08-09 4958
重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。重放攻击在任何网络通过程中都可能发生,是计算机世界黑客常用的攻击方式之一。 例子:入侵者从网络上截取主...
Java请求中关于如何避免防重放攻击
weixin_42960380的博客
06-25 8065
重放攻击介绍 (入侵者从网络上截取主机A发送给主机B的报文,并把由A加密的报文发送给B,使主机B误以为入侵者就是主机A,然后主机B向伪装成A的入侵者发送应当发送给A的报文。–介绍引用网址https://www.jianshu.com/p/7887f16581c0 防御手段 防止重放攻击的方法是使用不重数 加随机数 该方法优点是认证双方不需要时间同步,双方记住使用过的随机数,如发现报文中有以前使用...
如何避免token被截获后的重放攻击Java
咘噜biu的博客
10-29 3194
token 加密,解密工具: package com.cloudstore.spider.store.feign; import lombok.AllArgsConstructor; import lombok.Data; import java.util.Base64; /** * @author visy.wang * @desc Token加密、解密工具 * @date 2020/10/29 15:26 */ public class TokenUtil { /** * 密码和.
JAVA实现防重放攻击和接口签名
weixin_45853776的博客
07-20 2453
概念 防重放攻击 重放攻击(Replay Attacks):攻击者 截取了从A发送给B的一个有效请求,然后重新发送给B,这样就获取了B应该返回给A的数据。或发起海量请求使服务器崩溃。 重放攻击的基本原理:把以前窃听到的数据原封不动地重新发送给接收方。很多时候,网络上传输的数据是加密过的,此时窃听者无法得到数据的准确意义。但如果他知道这些数据的作用,就可以在不知道数据内容的情况下通过再次发送这些数据达到愚弄接收端的目的。例如,有的系统会将鉴别信息进行简单加密后进行传输,这时攻击者虽然无法窃听密码,但他们
JAVA实现文件防重的技术指南
木头
07-04 598
本文介绍了文件防重的常见实现方案,重点推荐基于文件哈希的方法。通过计算文件哈希值(如MD5、SHA-256)来精确识别重复内容,避免存储冗余文件。文章提供了Java实践样例,包含哈希计算工具类、防重服务和REST API实现,并讨论了优化方案如分块哈希和分布式存储。该方法能有效提升存储效率,降低管理成本,适用于需要处理重复上传文件的业务场景。
gateway+vue实现防接口重放、防篡改
白衣的博客
01-01 3222
接口的防篡改防重放
java代码防重
silencezyn1208的博客
03-10 2659
一、表单重复提交的常见应用场景 1、在网络延迟的情况下让用户又是加你点击多次submit按钮导致 2、表单提交后用户点击刷新按钮导致表单重复提交 3、用户表单提交后,点击浏览器后退按钮退回表单页面后进行再次提交。 二、解决办法 1、利用javaScript防止表单重复提交<%@ page language="java" import="java.util.*
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值