ノンスを使用して Web リクエストを保護する方法

問題

ユーザーは、次の方法で Web サイトのスコアリング システムのリクエスト検証システムを悪用する方法を見つけました。価値の高い HTTP リクエストを複製します。これにより、システムの整合性と信頼性が損なわれます。

解決策: Nonce システムの実装

Nonce (1 回使用される数) は、特定のリクエストが実行されていないことを保証することで、リクエスト リプレイ攻撃を防ぐ値です。以前に作ったもの。 nonce システムを実装する一般的で安全な方法は次のとおりです:

サーバー側の nonce 生成と検証

getNonce() Function

• リクエストを行っているクライアントを識別します (ユーザー名、セッションなど)。
• 安全なハッシュ関数 (SHA512 など) を使用してランダムなノンスを生成します。
• 関連付けられたデータベースにノンスを保存します。クライアントの ID。
• クライアントに nonce を返します。

verifyNonce() Function

• 以前に保存された nonce をフェッチしますクライアント ID 用。
• データベースから nonce を削除します (再利用を防ぐため)。
• クライアント提供の nonce (cnonce)、リクエスト データ、およびシークレット ソルト。
• 生成されたハッシュとクライアントによって提供されたハッシュを比較します。
• ハッシュが一致する場合は true を返し、有効な nonce を示します。

クライアント-Side Nonce の使用法

sendData() 関数

• getNonce() 関数を使用してサーバーからナンスを取得します。
• 安全なハッシュ関数を使用したクライアント固有の nonce (cnonce)。
• サーバー nonce、クライアント nonce、およびリクエスト データを連結します。
• 連結された値からハッシュを生成します。
• ]データ、cnonce、ハッシュを含むリクエストをサーバーに送信します。

セキュリティに関する考慮事項

• ランダム ナンス生成: makeRandomString( ) 関数は、セキュリティを強化するために、非常に予測不可能な乱数を生成する必要があります。
• 安全なハッシュ関数: nonce 関連のハッシュ計算には、SHA512 や bcrypt などの強力なハッシュ関数を利用します。
• リクエストごとに 1 回のみ使用: Nonce は 1 回のみ使用し、リプレイ攻撃を防ぐためにストレージから削除する必要があります。