防止重放攻击的常用方法
发布网友
发布时间:2022-05-16 20:26
共3个回答
懂视网
时间:2022-05-19 15:11
如过客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,虽然第三方无法解密获取其中的数据,但是可以使用该请求包进行重复的请求操作。如果服务端不进行防重放攻击,就会参数服务器压力增大,数据紊乱的后果。而使用添加时间戳的方式可以解决这一问题。
private readonly string TimeStamp = ConfigurationManager.AppSettings["TimeStamp"];//配置时间戳
[HttpPost]
public ActionResult TestApi()
{
string RequestTime = Request["rtime"]; //请求时间经过RSA签名
try
{
//请求时间RSA解密后加上时间戳的时间即该请求的有效时间
DateTime Requestdt = DateTime.Parse(RSACryptoProvider.Decrypt(RequestTime, RSA_Keys.Private)).AddMinutes(int.Parse(TimeStamp));
DateTime Newdt = DateTime.Now; //服务器接收请求的当前时间
//if 请求的有效时间 < 现在服务器接受请求的时间 即该请求失效
if (Requestdt < Newdt)
{
return Json(new { success = false, message = "该请求已经失效" });
}
else
{
//进行其他操作
}
}
catch (Exception ex)
{
return Json(new { success = false, message = "请求参数不和要求" });
}
}
热心网友
时间:2022-05-19 12:19
该方法优点是认证双方不需要时间同步,双方记住使用过的随机数,如发现报文中有以前使用过的随机数,就认为是重放攻击。缺点是需要额外保存使用过的随机数,若记录的时间段较长,则保存和查询的开销较大。
2. 加时间戳
该方法优点是不用额外保存其他信息。缺点是认证双方需要准确的时间同步,同步越好,受攻击的可能性就越小。但当系统很庞大,跨越的区域较广时,要做到精确的时间同步并不是很容易。
3. 加流水号
就是双方在报文中添加一个逐步递增的整数,只要接收到一个不连续的流水号报文(太大或太小),就认定有重放威胁。该方法优点是不需要时间同步,保存的信息量比随机数方式小。缺点是一旦攻击者对报文解密成功,就可以获得流水号,从而每次将流水号递增欺骗认证端。
热心网友
时间:2022-05-19 13:37
