保护 API 免受重放攻击

Question

Closed. This question needs to be more focused. It is not currently accepting answers.

---

想要改进这个问题吗？通过编辑这篇文章来更新问题，使其仅关注一个问题。

9 个月前已关闭。

Answer 1

您可能不关心任何操作是否可以重播，例如可能获取一些非重要信息的异步​​请求。

不过，您仍然可以要求应用程序在执行每一个会带来财务或安全后果的重要操作之前重新登录。

我希望您永远不要通过网络交换身份验证秘密（密码）。相反，您向应用程序发送一个质询字符串，应用程序使用密码对其进行编码并发回。服务器也执行相同的操作并比较结果。此操作很容易在任何重要操作之前重复，甚至可以作为重要操作的一部分：回复是通过秘密编码发送的。除非窃听者知道这个秘密，否则他将无法重播某个操作，因为服务器发送的挑战会有所不同。

不，我不知道这个方案是否适合 asp.net 身份验证机制。

Answer 2

您可以尝试让客户端在每个事务中发送加密或哈希保护的序列号和时间戳，并检查服务器端是否有重复项。

Answer 3

除了为应用程序使用 SSL 连接来确保没有人从一开始就窃取 cookie 之外，没有任何万无一失的方法可以防止利用被盗身份验证 cookie 的重放攻击。

最好的办法是将 cookie 过期设置为相当低的值，并要求用户在超时后重新输入其凭据。理想情况下，这将是一个滑动窗口，但如果您不介意真正激怒用户，则可以将其设为绝对窗口。