Wie können Nonces Webanfragen vor Replay-Angriffen schützen?
Veröffentlicht am 16.11.2024
Durchsuche:323
So sichern Sie Webanfragen mit Nonces
Problem
Ein Benutzer hat eine Möglichkeit gefunden, das Anforderungsvalidierungssystem des Bewertungssystems einer Website auszunutzen Duplizieren hochwertiger HTTP-Anfragen. Dies beeinträchtigt die Integrität und Zuverlässigkeit des Systems.
Lösung: Implementierung eines Nonce-Systems
Nonces (einmal verwendete Anzahl) sind Werte, die Request-Replay-Angriffe verhindern, indem sie sicherstellen, dass eine bestimmte Anfrage nicht gesendet wurde vorher gemacht. Hier ist eine gängige und sichere Möglichkeit, ein Nonce-System zu implementieren:
Serverseitige Nonce-Generierung und -Verifizierung
getNonce()-Funktion
- Identifiziert den Client, der die Anfrage stellt (z. B. nach Benutzername, Sitzung).
- Generiert eine zufällige Nonce mithilfe einer sicheren Hash-Funktion (z. B. SHA512).
- Speichert die Nonce in einer Datenbank, die mit verknüpft ist Die ID des Clients.
- Gibt die Nonce an den Client zurück.
verifyNonce() Funktion
- Ruft die zuvor gespeicherte Nonce ab für die Client-ID.
- Entfernt die Nonce aus der Datenbank (um zu verhindern, dass sie wiederverwendet wird).
- Generiert einen Hash mit der vom Client bereitgestellten Nonce (Cnonce), den Anforderungsdaten und ein geheimes Salt.
- Vergleicht den generierten Hash mit dem vom Client bereitgestellten Hash.
- Gibt „true“ zurück, wenn die Hashes übereinstimmen, was auf eine gültige Nonce hinweist.
Client -Side Nonce Usage
sendData() Function
- Ruft die Nonce mithilfe der getNonce()-Funktion vom Server ab.
- Generiert eine clientspezifische Nonce (cnonce) unter Verwendung einer sicheren Hash-Funktion.
- Verkettet die Server-Nonce, Client-Nonce und Anforderungsdaten.
- Erzeugt einen Hash aus dem verketteten Wert.
- Sendet die Anfrage an den Server, einschließlich der Daten, Cnonce und Hash.
Sicherheitsüberlegungen
- Zufällige Nonce-Generierung: Der makeRandomString( )-Funktion sollte höchst unvorhersehbare Zufallszahlen generieren, um die Sicherheit zu erhöhen.
- Sichere Hash-Funktion: Verwenden Sie eine starke Hash-Funktion wie SHA512 oder bcrypt für Nonce-bezogene Hash-Berechnungen.
- Einmalige Verwendung pro Anfrage: Nonces sollten nur einmal verwendet und aus dem Speicher entfernt werden, um Wiederholungsangriffe zu verhindern.
Neuestes Tutorial
Mehr>
-
Wie führe ich die NTLM-Authentifizierung in Go-HTTP-Anfragen mit Systemanmeldeinformationen durch?NTLM-Authentifizierung in Go-HTTP-Anfragen mit SystemanmeldeinformationenIn dieser Frage sucht der Benutzer nach Anleitung zur Durchführung der Window...Programmierung Veröffentlicht am 16.11.2024 -
Wie kann ich die CPU-Architektur bestimmen, für die mein C/C++-Code kompiliert wird?Kompilieren für eine bestimmte CPU-ArchitekturBeim Schreiben von C- oder C-Code ist es oft notwendig, die Ziel-CPU-Architektur zu kennen, für die Sie ...Programmierung Veröffentlicht am 16.11.2024
-
Wie können Sie klassenähnliches Verhalten in Python-Modulen nachahmen?Dynamisches Implementieren von klassenähnlichem Verhalten in Modulen mithilfe von getattrIn einigen Szenarien kann es wünschenswert sein, es nachzuahm...Programmierung Veröffentlicht am 16.11.2024
-
Wie erstelle ich wirklich unabhängige Kopien von Objekten in Python?Objekte in Python duplizieren: Eine umfassende AnleitungDas Erstellen von Objektkopien ist eine grundlegende Aufgabe in der Python-Programmierung, ins...Programmierung Veröffentlicht am 16.11.2024
-
Wie extrahiere ich inneren XML-Inhalt aus einem SimpleXMLElement in PHP?PHP SimpleXML: Zugriff auf inneres XMLIm Bereich der PHP-XML-Analyse ermöglicht die SimpleXML-Erweiterung Entwicklern die einfache Bearbeitung von XML...Programmierung Veröffentlicht am 16.11.2024
-
Welche String-Verkettungsoption in Java ist für Sie am besten geeignet?Grundlegendes zu den String-Verkettungsoptionen in Java: , StringBuilder und concatIn Java gibt es mehrere Optionen zum Verketten von Strings: mit dem...Programmierung Veröffentlicht am 16.11.2024
-
Wie behebt man „Unsachgemäß konfiguriert: Fehler beim Laden des MySQLdb-Moduls“ in Django unter macOS?MySQL falsch konfiguriert: Das Problem mit relativen PfadenBeim Ausführen von python manage.py runserver in Django kann der folgende Fehler auftreten:...Programmierung Veröffentlicht am 16.11.2024
-
Wie installiere ich MySQL unter Ubuntu, ohne ein Passwort einzugeben?Passwortlose MySQL-Installation unter UbuntuFrage:Wie kann ich MySQL unter Ubuntu installieren, ohne dabei ein Passwort eingeben zu müssen?Hintergrund...Programmierung Veröffentlicht am 16.11.2024
-
Bietet die DNS-Auflösung von Go Cache-Suchen?Funktioniert die DNS-Auflösung von Go für Cache-Suchen?In der Standardbibliothek der Go-Programmiersprache fehlt ein integrierter Mechanismus zum Zwis...Programmierung Veröffentlicht am 16.11.2024
-
Wie löse ich „java.lang.UnsatisfiedLinkError no *.dll in java.library.path“ in Java-Webanwendungen?Fehlerbehebung „java.lang.UnsatisfiedLinkError no *.dll in java.library.path“ ProblemWird angewendet Statische Verknüpfungsmethoden wie System.loadLib...Programmierung Veröffentlicht am 16.11.2024
-
Wie kombiniere ich zwei assoziative Arrays in PHP und behalte dabei eindeutige IDs bei und verarbeite doppelte Namen?Kombinieren assoziativer Arrays in PHPIn PHP ist das Kombinieren zweier assoziativer Arrays zu einem einzigen Array eine häufige Aufgabe. Betrachten S...Programmierung Veröffentlicht am 16.11.2024
-
Warum erhalte ich „[$injector:modulerr]“ bei der Migration auf AngularJS 1.3?AngularJS: Bei der Migration auf V1.3 tritt [$injector:modulerr] aufIn Ihrem AngularJS-Code ist ein Fehler aufgetreten bei der Migration auf Version 1...Programmierung Veröffentlicht am 16.11.2024
-
Wie kann ich mit MySQL Benutzer mit den heutigen Geburtstagen finden?So identifizieren Sie Benutzer mit den heutigen Geburtstagen mithilfe von MySQLUm mithilfe von MySQL festzustellen, ob heute der Geburtstag eines Benu...Programmierung Veröffentlicht am 16.11.2024
-
Wie löst man den Fehler „1418 (HY000) Diese Funktion enthält weder DETERMINISTISCH noch KEIN SQL oder liest SQL-Daten in ihrer Deklaration und binäre Protokollierung ist aktiviert“ in MySQL?Beim Importieren einer MySQL-Datenbank kann in Zeile 10185 der Fehler „1418 (HY000)“ auftreten: Diese Funktion enthält weder DETERMINISTISCH noch KEIN...Programmierung Veröffentlicht am 16.11.2024
-
Wie kann ich Datumsangaben in einem bestimmten Format wie „d-m-y“ in MySQL anzeigen?MySQL-Datumsformat und -DarstellungBeim Erstellen eines DATE-Felds in MySQL können Benutzer auf Probleme mit der Speicherung von Datumsangaben in eine...Programmierung Veröffentlicht am 16.11.2024
![Warum erhalte ich „[$injector:modulerr]“ bei der Migration auf AngularJS 1.3?](http://www.luping.net/uploads/20241116/1731750139673868fb1fcc7.jpg)
Chinesisch lernen
- 1 Wie sagt man „gehen“ auf Chinesisch? 走路 Chinesische Aussprache, 走路 Chinesisch lernen
- 2 Wie sagt man auf Chinesisch „Flugzeug nehmen“? 坐飞机 Chinesische Aussprache, 坐飞机 Chinesisch lernen
- 3 Wie sagt man auf Chinesisch „einen Zug nehmen“? 坐火车 Chinesische Aussprache, 坐火车 Chinesisch lernen
- 4 Wie sagt man auf Chinesisch „Bus nehmen“? 坐车 Chinesische Aussprache, 坐车 Chinesisch lernen
- 5 Wie sagt man „Fahren“ auf Chinesisch? 开车 Chinesische Aussprache, 开车 Chinesisch lernen
- 6 Wie sagt man Schwimmen auf Chinesisch? 游泳 Chinesische Aussprache, 游泳 Chinesisch lernen
- 7 Wie sagt man auf Chinesisch „Fahrrad fahren“? 骑自行车 Chinesische Aussprache, 骑自行车 Chinesisch lernen
- 8 Wie sagt man auf Chinesisch Hallo? 你好Chinesische Aussprache, 你好Chinesisch lernen
- 9 Wie sagt man „Danke“ auf Chinesisch? 谢谢Chinesische Aussprache, 谢谢Chinesisch lernen
- 10 How to say goodbye in Chinese? 再见Chinese pronunciation, 再见Chinese learning
Bildbase64-Dekodierung
Chinesisches Pinyin
Unicode-Kodierung
Komprimierung der JS-Verschleierungsverschlüsselung
URL-Hexadezimal-Verschlüsselungstool
Konvertierungstool für UTF-8-Kodierung
Online-Tools zur ASCII-Kodierung und -Dekodierung
MD5-Verschlüsselungstool
Hash/Hash-Text-Online-Verschlüsselungs- und Entschlüsselungstool
Online-SHA-Verschlüsselung