Página delantera > Programación > ¿Cómo puede Nonces proteger las solicitudes web contra ataques de repetición?
¿Cómo puede Nonces proteger las solicitudes web contra ataques de repetición?
Publicado el 2024-11-16
Navegar:241
Cómo proteger las solicitudes web con Nonces
Problema
Un usuario ha encontrado una manera de explotar el sistema de validación de solicitudes del sistema de puntuación de un sitio web al duplicar solicitudes HTTP de alto valor. Esto compromete la integridad y confiabilidad del sistema.
Solución: implementar un sistema Nonce
Los nonces (número usado una vez) son valores que evitan ataques de repetición de solicitudes al garantizar que una solicitud en particular no haya sido hecho antes. A continuación se muestra una forma común y segura de implementar un sistema nonce:
Generación y verificación de Nonce en el lado del servidor
Función getNonce()
- Identifica al cliente que realiza la solicitud (por ejemplo, por nombre de usuario, sesión).
- Genera un nonce aleatorio usando una función hash segura (por ejemplo, SHA512).
- Almacena el nonce en una base de datos asociada con el ID del cliente.
- Devuelve el nonce al cliente.
función verificarNonce()
- Recupera el nonce previamente almacenado para el ID del cliente.
- Elimina el nonce de la base de datos (para evitar que se reutilice).
- Genera un hash con el nonce proporcionado por el cliente (cnonce), los datos de la solicitud y una sal secreta.
- Compara el hash generado con el hash proporcionado por el cliente.
- Devuelve verdadero si los hashes coinciden, lo que indica un nonce válido.
Cliente -Uso lateral de Nonce
Función sendData()
- Recupera el nonce del servidor usando la función getNonce().
- Genera un nonce específico del cliente (cnonce) usando una función hash segura.
- Concatena el nonce del servidor, el nonce del cliente y los datos de solicitud.
- Genera un hash a partir del valor concatenado.
- Envía la solicitud al servidor, incluidos los datos, cnonce y hash.
Consideraciones de seguridad
- Generación aleatoria nonce: makeRandomString( ) debe generar números aleatorios altamente impredecibles para mejorar la seguridad.
- Función Hash segura: Utilice una función hash sólida como SHA512 o bcrypt para cálculos hash no relacionados.
- Uso único por solicitud: Nonces solo debe usarse una vez y eliminarse del almacenamiento para evitar ataques de repetición.
Último tutorial
Más>
-
¿Qué opción de concatenación de cadenas en Java es mejor para usted?Comprensión de las opciones de concatenación de cadenas en Java: , StringBuilder y concatEn Java, existen múltiples opciones para concatenar cadenas: ...Programación Publicado el 2024-11-16 -
FormaciónLos métodos son fns que se pueden invocar en objetos Los arreglos son objetos, por lo tanto también tienen métodos en JS. segmento (comienzo):...Programación Publicado el 2024-11-16
-
¿Cómo solucionar \"Configurado incorrectamente: Error al cargar el módulo MySQLdb\" en Django en macOS?MySQL configurado incorrectamente: el problema con las rutas relativasAl ejecutar python Manage.py RunServer en Django, puede encontrar el siguiente e...Programación Publicado el 2024-11-16
-
¿Cómo instalar MySQL en Ubuntu sin ingresar una contraseña?Instalación de MySQL sin contraseña en UbuntuPregunta:¿Cómo puedo instalar MySQL en Ubuntu sin tener que ingresar una contraseña durante el proceso?An...Programación Publicado el 2024-11-16
-
¿La resolución DNS de Go incluye búsquedas en caché?¿La resolución DNS de Go incluye búsquedas en caché?La biblioteca estándar del lenguaje de programación Go carece de un mecanismo integrado para almac...Programación Publicado el 2024-11-16
-
¿Cómo resolver \"java.lang.UnsatisfiedLinkError no *.dll in java.library.path\" en aplicaciones web Java?Solución de problemas "java.lang.UnsatisfiedLinkError no *.dll en java.library.path" ProblemaAplicando Los métodos de enlace estático como S...Programación Publicado el 2024-11-16
-
¿Cómo combino dos matrices asociativas en PHP manteniendo ID únicas y manejando nombres duplicados?Combinando matrices asociativas en PHPEn PHP, combinar dos matrices asociativas en una sola matriz es una tarea común. Considere la siguiente solicitu...Programación Publicado el 2024-11-16
-
¿Por qué aparece \"[$injector:modulerr]\" al migrar a AngularJS 1.3?AngularJS: Encontrando [$injector:modulerr] al migrar a V1.3En su código AngularJS, está encontrando un error al migrar a la versión 1.3: Error no det...Programación Publicado el 2024-11-16
-
¿Cómo puedo encontrar usuarios con los cumpleaños de hoy usando MySQL?Cómo identificar usuarios con los cumpleaños de hoy usando MySQLDeterminar si hoy es el cumpleaños de un usuario usando MySQL implica encontrar todas ...Programación Publicado el 2024-11-16
-
¿Cómo resolver el error \"1418 (HY000) Esta función no tiene nada de DETERMINISTA, NO SQL o LECTURA DE DATOS SQL en su declaración y el registro binario está habilitado\" en MySQL?Al importar una base de datos MySQL, puede encontrar el error "1418 (HY000) en la línea 10185: Esta función no tiene nada de DETERMINISTA, NO SQL...Programación Publicado el 2024-11-16
-
¿Cómo puedo mostrar fechas en un formato específico como \'d-m-Y\' en MySQL?Formato y representación de fecha de MySQLAl crear un campo FECHA en MySQL, los usuarios pueden encontrar problemas con las fechas que se almacenan en...Programación Publicado el 2024-11-16
-
¿Por qué la señal al hacer clic en el botón PyQt4 siempre genera el mismo valor dentro de un bucle?Conectar ranuras y señales en PyQt4 dentro de un bucleEn PyQt4, establecer conexiones entre ranuras y señales es un aspecto fundamental del manejo de ...Programación Publicado el 2024-11-16
-
Más allá de las declaraciones "if": ¿dónde más se puede utilizar un tipo con una conversión "bool" explícita sin conversión?Conversión contextual a bool permitida sin conversiónSu clase define una conversión explícita a bool, lo que le permite usar su instancia 't' ...Programación Publicado el 2024-11-16
-
¿Cómo realizar una búsqueda y reemplazo global en toda una base de datos MySQL?Buscar y reemplazar toda la base de datos MySQLEl objetivo es realizar una operación global de búsqueda y reemplazo en toda una base de datos MySQL. L...Programación Publicado el 2024-11-16
-
Cómo convertir cadenas en dobles en C++: una guía sencilla usando `std::istringstream` y `std::stod`Convertir cadenas en dobles en C En C, la conversión de una cadena en un doble se puede lograr usando las funciones std::istringstream y std::stod.#in...Programación Publicado el 2024-11-16
![¿Por qué aparece \"[$injector:modulerr]\" al migrar a AngularJS 1.3?](http://www.luping.net/uploads/20241116/1731750139673868fb1fcc7.jpg)
Estudiar chino
- 1 ¿Cómo se dice "caminar" en chino? 走路 pronunciación china, 走路 aprendizaje chino
- 2 ¿Cómo se dice "tomar un avión" en chino? 坐飞机 pronunciación china, 坐飞机 aprendizaje chino
- 3 ¿Cómo se dice "tomar un tren" en chino? 坐火车 pronunciación china, 坐火车 aprendizaje chino
- 4 ¿Cómo se dice "tomar un autobús" en chino? 坐车 pronunciación china, 坐车 aprendizaje chino
- 5 ¿Cómo se dice conducir en chino? 开车 pronunciación china, 开车 aprendizaje chino
- 6 ¿Cómo se dice nadar en chino? 游泳 pronunciación china, 游泳 aprendizaje chino
- 7 ¿Cómo se dice andar en bicicleta en chino? 骑自行车 pronunciación china, 骑自行车 aprendizaje chino
- 8 ¿Cómo se dice hola en chino? 你好Pronunciación china, 你好Aprendizaje chino
- 9 ¿Cómo se dice gracias en chino? 谢谢Pronunciación china, 谢谢Aprendizaje chino
- 10 How to say goodbye in Chinese? 再见Chinese pronunciation, 再见Chinese learning
Decodificación de imagen base64
pinyin chino
Codificación Unicode
Compresión de cifrado de ofuscación JS
Herramienta de cifrado hexadecimal de URL
Herramienta de conversión de codificación UTF-8
Herramientas de codificación y decodificación Ascii en línea
herramienta de cifrado MD5
Herramienta de cifrado y descifrado de texto hash/hash en línea
Cifrado SHA en línea