Primeira página > Programação > Como os Nonces podem proteger solicitações da Web contra ataques de repetição?
Como os Nonces podem proteger solicitações da Web contra ataques de repetição?
Publicado em 2024-11-16
Navegar:732
Como proteger solicitações da Web com Nonces
Problema
Um usuário encontrou uma maneira de explorar o sistema de validação de solicitações do sistema de pontuação de um site, duplicação de solicitações HTTP de alto valor. Isso compromete a integridade e a confiabilidade do sistema.
Solução: Implementando um Sistema Nonce
Nonces (número usado uma vez) são valores que evitam ataques de repetição de solicitação, garantindo que uma solicitação específica não foi feito antes. Esta é uma maneira comum e segura de implementar um sistema nonce:
Geração e verificação de Nonce no lado do servidor
Função getNonce()
- Identifica o cliente que faz a solicitação (por exemplo, por nome de usuário, sessão).
- Gera um nonce aleatório usando uma função hash segura (por exemplo, SHA512).
- Armazena o nonce em um banco de dados associado ao ID do cliente.
- Retorna o nonce ao cliente.
verifyNonce() Função
- Busca o nonce armazenado anteriormente para o ID do cliente.
- Remove o nonce do o banco de dados (para evitar que ele seja reutilizado).
- Gera um hash com o nonce fornecido pelo cliente (cnonce), os dados da solicitação e um salt secreto.
- Compara o hash gerado com o hash fornecido pelo cliente.
- Retorna verdadeiro se os hashes corresponderem, indicando um Nonce válido.
Nonce do lado do cliente Uso
sendData() Função
- Recupera o nonce do servidor usando a função getNonce().
- Gera um específico do cliente nonce (cnonce) usando uma função hash segura.
- Concatena o nonce do servidor, o nonce do cliente e a solicitação data.
- Gera um hash a partir do valor concatenado.
- Envia a solicitação ao servidor, incluindo os dados, o cnonce e o hash.
Considerações de segurança
- Random Nonce Generation: A função makeRandomString() deve gerar números aleatórios altamente imprevisíveis para melhore a segurança.
- Função de hash segura: Utilize uma função de hash forte como SHA512 ou bcrypt para cálculos de hash relacionados a nonce.
- Uso único por solicitação: Nonces devem ser usados apenas uma vez e removidos do armazenamento para evitar ataques de repetição.
Tutorial mais recente
Mais>
-
Como corrigir “Configurado incorretamente: Erro ao carregar o módulo MySQLdb” no Django no macOS?MySQL configurado incorretamente: o problema com caminhos relativosAo executar python manage.py runserver no Django, você pode encontrar o seguinte er...Programação Publicado em 2024-11-16 -
Como instalar o MySQL no Ubuntu sem digitar uma senha?Instalação do MySQL sem senha no UbuntuPergunta:Como posso instalar o MySQL no Ubuntu sem precisar inserir uma senha durante o processo?Antecedentes:A...Programação Publicado em 2024-11-16
-
A resolução DNS do Go apresenta pesquisas de cache?As pesquisas de cache de recursos de resolução de DNS do Go?A biblioteca padrão da linguagem de programação Go não possui um mecanismo integrado para ...Programação Publicado em 2024-11-16
-
VariedadeMétodos são fns que podem ser chamados em objetos Arrays são objetos, portanto também possuem métodos em JS. slice(begin): extrai parte do arr...Programação Publicado em 2024-11-16
-
Como resolver "java.lang.UnsatisfiedLinkError no *.dll in java.library.path" em aplicativos da Web Java?Solução de problemas "java.lang.UnsatisfiedLinkError no *.dll in java.library.path" ProblemaAplicando métodos de vinculação estática como Sy...Programação Publicado em 2024-11-16
-
Como combinar dois arrays associativos em PHP preservando IDs exclusivos e manipulando nomes duplicados?Combinando matrizes associativas em PHPEm PHP, combinar duas matrizes associativas em uma única matriz é uma tarefa comum. Considere a seguinte solici...Programação Publicado em 2024-11-16
-
Por que estou recebendo \"[$injector:modulerr]\" ao migrar para AngularJS 1.3?AngularJS: Encontrando [$injector:modulerr] Ao migrar para V1.3Em seu código AngularJS, você está encontrando um erro ao migrar para a versão 1.3: Err...Programação Publicado em 2024-11-16
-
Como posso encontrar usuários com aniversários de hoje usando MySQL?Como identificar usuários com aniversários de hoje usando MySQLDeterminar se hoje é o aniversário de um usuário usando MySQL envolve encontrar todas a...Programação Publicado em 2024-11-16
-
Como resolver o erro "1418 (HY000) Esta função não possui DETERMINISTIC, NO SQL ou READS SQL DATA em sua declaração e o log binário está ativado" no MySQL?Ao importar um banco de dados MySQL, você pode encontrar o erro "1418 (HY000) na linha 10185: Esta função não possui DETERMINISTIC, NO SQL ou REA...Programação Publicado em 2024-11-16
-
Como posso exibir datas em um formato específico como \'d-m-Y\' no MySQL?Formato e representação de data do MySQLAo criar um campo DATE no MySQL, os usuários podem encontrar problemas com datas armazenadas em um campo não-u...Programação Publicado em 2024-11-16
-
Por que o sinal clicado no botão PyQt4 sempre gera o mesmo valor dentro de um loop?Conectando slots e sinais em PyQt4 dentro de um loopNo PyQt4, estabelecer conexões entre slots e sinais é um aspecto fundamental do tratamento de even...Programação Publicado em 2024-11-16
-
Além das instruções `if`: onde mais um tipo com uma conversão `bool` explícita pode ser usado sem conversão?Conversão contextual para bool permitida sem conversãoSua classe define uma conversão explícita para bool, permitindo que você use sua instância '...Programação Publicado em 2024-11-16
-
Como realizar uma localização e substituição global em todo um banco de dados MySQL?Encontrando e substituindo todo o banco de dados MySQLO objetivo é realizar uma operação global de localização e substituição em todo um banco de dado...Programação Publicado em 2024-11-16
-
Como converter strings em duplos em C++: um guia simples usando `std::istringstream` e `std::stod`Convertendo Strings em Doubles em C Em C , a conversão de uma string em um double pode ser obtida usando as funções std::istringstream e std::stod.#in...Programação Publicado em 2024-11-16
-
Por que Lambdas são mais otimizáveis do que funções simples em C++?Por que Lambdas permitem otimização aprimorada do compilador em comparação com funções simplesA C Standard Library (segunda edição) de Nicolai Josutti...Programação Publicado em 2024-11-16
![Por que estou recebendo \"[$injector:modulerr]\" ao migrar para AngularJS 1.3?](http://www.luping.net/uploads/20241116/1731750139673868fb1fcc7.jpg)
Estude chinês
- 1 Como se diz “andar” em chinês? 走路 Pronúncia chinesa, 走路 aprendizagem chinesa
- 2 Como se diz “pegar um avião” em chinês? 坐飞机 Pronúncia chinesa, 坐飞机 aprendizagem chinesa
- 3 Como se diz “pegar um trem” em chinês? 坐火车 Pronúncia chinesa, 坐火车 aprendizagem chinesa
- 4 Como se diz “pegar um ônibus” em chinês? 坐车 Pronúncia chinesa, 坐车 aprendizagem chinesa
- 5 Como se diz dirigir em chinês? 开车 Pronúncia chinesa, 开车 aprendizagem chinesa
- 6 Como se diz nadar em chinês? 游泳 Pronúncia chinesa, 游泳 aprendizagem chinesa
- 7 Como se diz andar de bicicleta em chinês? 骑自行车 Pronúncia chinesa, 骑自行车 aprendizagem chinesa
- 8 Como você diz olá em chinês? 你好Pronúncia chinesa, 你好Aprendizagem chinesa
- 9 Como você agradece em chinês? 谢谢Pronúncia chinesa, 谢谢Aprendizagem chinesa
- 10 How to say goodbye in Chinese? 再见Chinese pronunciation, 再见Chinese learning
Decodificação de imagem base64
pinyin chinês
Codificação Unicode
Compressão de criptografia de ofuscação JS
Ferramenta de criptografia hexadecimal de URL
Ferramenta de conversão de codificação UTF-8
Ferramentas online de codificação e decodificação Ascii
Ferramenta de criptografia MD5
Ferramenta on-line de criptografia e descriptografia de texto Hash/Hash
Criptografia SHA on-line