`
wxyfighting
  • 浏览: 199975 次
  • 性别: Icon_minigender_1
  • 来自: 上海
文章分类
社区版块
存档分类
最新评论

Web服务的重放攻击的一点想法

 
阅读更多

下午在谈交易类服务的时候,除了证书做数字签名以外,也谈到了重放攻击的问题。

对于重放攻击可以通过序列号的方式来判断。

序列号从颁发角度分成:1.服务调用者自身颁发。2.服务提供者颁发。

序列号生成方式分成两类:1.不重复,随机颁发。2.递增。3.时间戳。

颁发者如果选择是服务提供者,那么就会使得原本一次的会话交互变成两次,增加了复杂度和失败率,因此最好选择服务调用者自身颁发。生成方式如果选择1,那么存储的成本很大(服务调用者颁发的方式,在服务调用者这边必须全量保存,在服务提供者这边如果校验没有被使用过,也会记录下来,最终也是全量保存。服务提供者颁发方式,序列号只存储在服务提供者这边,不过也是全量。)生成方式选择2,那么不论选择哪一种颁发方式,都只需要保存上一次的序列号,但是对于多线程和集群的并发访问控制需要做好保护,防止由于并发访问本身顺序不准确导致服务被拒绝。生成方式选择3,那么任何一种颁发方式都不需要保持序列号,校验的时候制定容忍时间窗大小来判断是否是有效的时间戳。需要注意的是客户端和服务端的时间差异性问题,当时间差大于可容忍的时间窗,那么每次请求都可能被作为无效请求拒绝。

这里我的想法是结合两种方式去做重放攻击的防范,即保证资源使用的可控,也保证系统复杂度不高:采用服务调用者自身颁发序列号,同时生成方式采用时间戳的方式。服务端校验流程如下:

其中服务有效期可以自己选择定义(可以是半小时,一小时等等),选择的参考就是首先客户端这边与服务端最大可容忍的时间差是多大,其次就是自己的存储预估,如果存储越大,那么可以放的更宽一些。这种设计在容忍值内采用的是不重复性的校验,毕竟时间戳方式也是不重复的,这样减少了在短时间内由于并发和并行带来的顺序控制难的问题,其次在容忍值后采用的是递增校验,这样可以减少对于序列号的存储压力,可根据自身存储能力考虑最大的容忍时间。

欢迎讨论...

分享到:
评论

相关推荐

    Web应用安全:代理及重放习题(实验习题).docx

    Web应用安全是一个至关重要的领域,尤其是在互联网高度发达的今天,各种网络服务和应用程序无处不在。Web应用安全涉及多个方面,其中包括防止恶意攻击和保护用户数据。本篇内容主要讨论了代理和重放攻击,这两种技术...

    Web服务器攻击分析报告

    Web服务器攻击分析报告Web服务器攻击分析报告Web服务器攻击分析报告

    Linux环境下Web服务器攻击的防范措施研究.pdf

    在 Linux 环境下,常见的 Web 服务器攻击方式包括 HTTP 拒绝服务攻击、缓冲区溢出攻击、基于 PHP 的 SQL 注入攻击等。这些攻击方式都可以对 Web 服务器造成严重的影响,导致服务器瘫痪或被黑客控制。 为了防范这些...

    Web应用安全:Burpsuite重放模块介绍.pptx

    **Web应用安全:深入理解Burp Suite的重放模块** 在Web应用安全测试中,Burp Suite是一款不可或缺的工具,其中的重放模块——Burp Repeater,是手动验证HTTP消息的强大工具。它允许安全研究人员多次重放请求响应,...

    Web服务安全体系结构的研究.pdf

    Web服务所面临的安全威胁多种多样,包括数据的篡改、重放攻击、假冒身份、服务拒绝等。为了应对这些威胁,需要建立一套完整的安全体系结构,以确保Web服务在传输过程中的信息完整性、保密性和身份认证等安全要求。 ...

    高效解决Web服务器遭遇攻击难题.pdf

    高效解决Web服务器遭遇攻击难题.pdf

    stm32搭建web服务器

    5. **静态文件服务**: - 在STM32的存储中存放HTML、CSS和JavaScript等静态文件。 - 当收到GET请求时,读取对应的文件内容并将其作为HTTP响应的主体部分发送给客户端。 6. **测试与调试**: - 使用网络工具(如...

    WEB应用安全攻击与防范培训.ppt

    WEB应用安全攻击与防范培训教程,包括各种常见web攻击方式及防范方法。超过百页的PPT教程,最全的WEB攻击与防范PPT教程

    Web攻击检测与分类识别数据集

    某业务平台平均每月捕获到Web攻击数量超过2亿,涉及常见注入攻击,代码执行等类型。传统威胁检测手段通过分析已知攻击特征进行规则匹配,无法检测未知漏洞或攻击手法。如何快速准确地识别未知威胁攻击并且将不同攻击...

    基于php的web系统漏洞攻击靶场设计与实践.docx

    Web 系统漏洞攻击靶场的主要目的是让用户了解 Web 攻击的危害性、学习网站漏洞攻击的知识和学习如何找出网站的漏洞。通过该系统,用户可以学习如何攻击一个存在漏洞的系统,为一些开发人员去检测自己的开发技术和...

    小脚本,大用场----浅谈WEB攻击技术(案例及演示)

    WEB服务器攻击技术——案例及演示 提纲 ● web时代,脚本的舞台 ● 一次虚拟的web攻击 ● OS+DB ● SQL注入 ● 跨站 ● 挂马 ● 防御 ● 常用资源

    us-17-Gil-Web-Cache-Deception-Attack.pdf

    Web缓存欺骗攻击是一种针对互联网安全的高级网络攻击方式,主要利用了Web缓存系统(如CDN Content Delivery Networks)的特性。攻击者通过精心设计的请求,使得受害者访问到被篡改或伪造的资源,从而可能导致敏感...

    Linux- 用C语言实现的简单Web服务器源代码

    在IT领域,构建一个Web服务器是一项基础且重要的实践任务,特别是在学习操作系统如Linux以及编程语言如C时。本文将深入探讨由熊第彬所编写的"Linux- 用C语言实现的简单Web服务器源代码",它是一个轻量级的Web服务器...

    JAVA.WEB服务.构建与运行

    中文名: JAVA WEB服务 构建与运行 原名: Java Web Services:Up and Running 作者: Martin Kalin译者: 任增刚图书分类: 软件 资源格式: PDF 版本: 扫描版 出版社: O'Reilly书号: ISBN: 9787121097119发行时间: 2009年...

    论文研究-Web服务攻击技术研究综述.pdf

    Web服务在给基于异构平台的...详细分析了针对单个Web服务以及Web服务组合过程的各种常见攻击技术的原理、特点,探讨了相应的检测和防御措施,结合已有研究成果,讨论了Web服务攻击防护将来的研究方向以及面临的挑战。

    C语言开发Linux下web服务器(支持GET/POST,SSL,目录显示等)

    首先,让我们从基础开始,Web服务器的工作原理。Web服务器主要负责接收来自客户端(通常是Web浏览器)的HTTP请求,并根据请求内容返回相应的HTTP响应。HTTP是超文本传输协议,是互联网上应用最为广泛的一种网络协议...

    Web服务器C++实现

    在IT领域,Web服务器是互联网基础设施的关键组成部分,它们负责接收HTTP请求并返回HTTP响应,使得用户能够访问网页和网络服务。本项目以C++语言实现Web服务器,这为我们提供了深入理解网络编程、多线程处理以及HTTP...

Global site tag (gtag.js) - Google Analytics