防重放、防篡改攻击的实现(Java版)

本文介绍了重放攻击和篡改攻击的概念,通过模拟这两种攻击展示了其实施方式。针对这些问题,文章提出了使用timestamp、nonce、公钥私钥等方案,并在老项目(framework7+Spring+SpringMVC+Ibatis)中实践了私钥签名和公钥验签的方法。然而,考虑到实现中的问题和高成本,最终选择了Redis+令牌的优化方案,详细阐述了其实现原理及可能的优化点。文章强调了在选择解决方案时要考虑项目的实际情况和需求。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、问题描述

1、什么是重放攻击、篡改攻击?

1、重放攻击:请求被攻击者获取,并重新发送给认证服务器,从而达到认证通过的目的。
2、篡改攻击:请求被攻击者获取,修改请求数据后,并重新发送给认证服务器,从而达到认证通过的目的。

2、如何模拟重放攻击、篡改攻击?

2.1、重放攻击模拟方式

1、使用谷歌浏览器的F12工具,在“网络”中任意找一个已经发送过的请求,鼠标右键这个请求,就可以看到“重放XHR”选项了,这个就是请求重放,即:重新发送一次该请求。如下图所示:

在这里插入图片描述

2、借助抓包工具,例如:Fiddler。这里以Fiddler为例,打开Fiddler找到刚刚的请求,鼠标右键可以看到“Replay->Reissue Requests”选项,这个就是重放请求。如下图所示:

在这里插入图片描述

<

评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值