那些遇到过的问题

防止重放REST url的重播攻击

Ken*_*hin 3 authentication rest url https spring-security

我有Spring安全自定义休息过滤器,使用以下逻辑验证客户端请求.

标题字段

  1. 标题中的日期
  2. hmac哈希签名

身体

  1. hmac加密数据

iOS客户端使用POST发出此请求,我在服务器中将过期时间设置为15秒.

现在的问题是,如果有人使用像Charles这样的调试工具,并且如果他碰巧将断点放在url中并在15秒内触发,则nonce将有效并且服务器第二次处理该请求.我怎样才能防止这种情况发生.在这种情况下,nonce不起作用.

无论采用何种方法,如果黑客获得即将被解雇的最终网址,他可能会在现有数据到期之前多次解雇......

我怎样才能防止这种情况发生?

有人能帮我找到最好的弹簧安全实现吗?

此外,HTTPS默认是否保护我们免受重播攻击?我们是否需要ssl客户端验证(在构建中具有der格式证书并使用服务器证书验证)以使用https进行重放攻击?或者默认情况下是否可以使用https?

换句话说,我正在使用AFNetworking,我们是否需要使用SSL Pinning来利用https重放攻击?或者没有ssl固定它会工作吗?

Mvd*_*vdD 9

如果使用HTTPS调用REST API,则协议可以保护您免受网络级别的重放攻击.这意味着某人无法记录某些加密流量并成功重播.

但是,如果您正在寻找一种方法来阻止合法客户端多次发出相同的请求,您将需要使这些请求具有幂等性或在业务逻辑中实现重放机制.你可以使用nonce来做到这一点.现时值不会过期,但只能在单个事务中使用.

归档时间:

查看次数:

6431 次

最近记录:

8 年,1 月 前
相关归档
在单个快递应用上收听HTTP和HTTPS 52
使用Spring Data Rest时公开所有ID 19
javax.ws.rs.NotFoundException:无法使用RESTEasy和Wildfly 8.1.0.Final查找完整路径的资源 12
如何在EmberJS应用程序中启用CORS? 12
iOS 5:https(ASIHTTPRequest)停止工作 9
我可以在Kohana中设置路由以仅匹配特定的HTTP方法(GET/POST/etc) 8
Rails 使用 routes.rb 重定向旧 URL 6
如何在 Python 中为 Azure Blob 存储 SAS 令牌生成签名? 4
在RESTful apis中使FOS RestBundle和json HAL可集成的策略 2
名称或ID为restl api的url 2
难疑归档
使用Git将特定文件重置或还原到特定版本? 4255
如何检查数组是否包含JavaScript中的对象? 3778
有没有办法在Android上运行Python? 2097
npm install的--save选项是什么? 1779
JavaScript中的'new'关键字是什么? 1684
删除包含特定字符串的文本文件中的行 1670
在不应用它的情况下查看存储中的内容 1650
传输安全性阻止了明文HTTP 1425
如何在find中排除目录.命令 1250
如何使用Windows开发机器为iPhone开发? 1161