1
我正在api上工作。 api將被iphone應用程序使用。保護api免受重播攻擊
該api需要登錄。我們用asp.net表單認證來保護它。客戶獲得一個cookie以重新發送即將到來的請求。
我們使用的是https,但我想仍然可以重播請求。我該如何保護,以便cookie只能由首次登錄的客戶端使用?
我在考慮在每次請求時更新cookie。但該應用有時會發送幾個異步請求。所以這不會工作。
/帕特里克
A
回答
1
也許你不關心,如果任何動作可以重播,例如異步請求可能會得到一些非重要信息。
仍然可以要求應用程序在每次執行操作之前都要重新登錄,這會導致財務或安全後果。
我希望你永遠不要通過網絡交換認證機密(密碼)。相反,您嚮應用發送挑戰字符串,應用會使用密碼對其進行編碼併發回。服務器執行相同的操作並比較結果。在任何重要行動之前,這一操作都很容易重複,甚至作爲重要行動的一部分:答覆由祕密編碼發送。除非竊聽者知道這個祕密,否則他不會重播一個動作,因爲服務器發送的挑戰將會不同。
不,我不知道這個方案是否符合asp.net認證機制。
0
您可能會嘗試讓客戶端發送加密或散列保護的序列號和每個事務的時間戳,並檢查服務器端的重複項。
0
除了爲您的應用程序使用SSL連接以確保沒有人盜取cookie之前,沒有防止利用被盜認證cookie的重放攻擊的傻瓜式方法。
最好的辦法是將cookie過期設置爲非常低的值,並要求用戶在超時後重新輸入憑據。理想情況下,這將是一個滑動窗口,但如果您不介意真正打勾用戶,則可以使其成爲絕對的窗口。
相關問題
- 1. 如何保護WebRTC免受MitM攻擊?
- 2. 保護自己免受Dos攻擊
- 3. 保護ECDH免受MITM攻擊
- 4. 如何保護java.lang.Object的受保護方法免受子類攻擊?
- 5. 如何使用iXGuard保護iOS應用程序免受攻擊者攻擊
- 6. 如何保護視頻文件(.swf播放器)免受黑客攻擊?
- 7. 如何保護.NET Web服務免受XXE漏洞攻擊?
- 8. 保護亞馬遜網絡服務(AWS)S3免受DDoS攻擊
- 9. 如何保護網站免受DoS攻擊
- 10. 如何保護Angular 2 SPA免受XSS攻擊?
- 11. 如何保護Web服務免受拒絕服務攻擊?
- 12. 保護bios免受攻擊性很強的程序
- 13. 如何保護Symfony登錄免受計時攻擊?
- 14. 配置nginx來保護Windows服務器免受攻擊
- 15. WCF安全 - 在中間攻擊中保護人免受
- 16. 如何使用HTTPOnly Cookies來保護JWT免受XSRF攻擊?
- 17. 保護基於WIF的會話免受相關域Cookie攻擊
- 18. Cocoa UI和一般框架元素如何被保護免受惡意攻擊?
- 19. HAProxy通過默認保護自己免受tcp syn氾濫攻擊
- 20. 如何保護Tibco BW免受POODLE攻擊? (SSL 3.0協議漏洞)
- 21. 如何做一個CORS過濾器保護我免受XSS攻擊
- 22. Facebook如何保護網站免受未經驗證碼的攻擊
- 23. 如何保護我的PHP網頁免受未授權用戶的攻擊
- 24. 保護window.opener免受更改
- 25. 保護Firebase數據庫免遭點黑客攻擊
- 26. 保護移動應用程序免遭中間人攻擊
- 27. 爲什麼Onvif身份驗證僅適用於禁用重播攻擊保護?
- 28. 如何保護我的API服務免受api-keys盜版
- 29. 用OpenCart保護SQL注入攻擊2.3.0.2
- 30. 從DoS攻擊保護nginx的
時間戳只有在兩端都具有同步時鐘時才起作用,即使如此,您仍然必須留下一個「鬆弛窗口」來解決差異。 – Marcin 2011-01-20 22:04:17