细说REST API安全之防止重放攻击
2017-06-09 15:17
316 查看
一. 重放攻击概述
百科对重放攻击的描述:https://zh.wikipedia.org/wiki/%E9%87%8D%E6%94%BE%E6%94%BB%E5%87%BB
简而言之,重放攻击的产生是由于安全信息被攻击者截取,用于欺骗服务器。
而在REST风格的软件架构中,如果仅仅使用HTTP协议,请求数据很容易被网络抓包截取,因此在API层面必须考虑防止重放攻击的设计。
二. 防止重放攻击实践
在工程实践中,可以通过时间戳,请求序列号等方式在一定程度上防止大规模的重放攻击。
实现方式不同,效率和难易程度上略有差异,需要根据业务系统实际需求选择合适的方式。
1. 使用时间戳方式
在请求参数中添加时间戳参数,服务器端首先验证时间戳timestamp是否有效,比如是服务器时间戳5分钟之前的请求视为无效;
优点:实现简单
缺点:需要客户端和服务器时钟同步,存在重放攻击时间窗口。
2. 使用请求序列号方式
虽然使用时间戳方式可以在一定程度上控制重放攻击,但是存在时间限制。在指定时间窗口下,任然不可避免会受到攻击。
服务器端和客户端约定一个序列号生成算法(保证全局唯一性),客户端每次请求时都需要携带请求序列号。
服务器端接到请求时,先验证序列号是否合法,不合法直接拒绝。否则查看缓存中是否已经存在过该序列号,若已经存在,表明该请求已经被处理,不允许再次调用。
本次处理完毕,将请求序列号缓存。
这样可以保证一个序列号对应的请求只会被处理一次,相对比较安全地杜绝了重放攻击。
优点:不需要客户端和服务器时钟同步,每个请求只允许被处理一次,杜绝重放攻击。
缺点:实现相对复杂,客户端序列号生成算法存在被破解的风险。
3. 总结
涉及到安全问题,再怎么强调都不为过。
安全防护也不是单一的,需要多层次的检测。如:除了在应用层进行保护,常常还会在外层部署安全网关。
结合实际的业务需求,选择合理的安全实现机制即可。
【参考】
http://yuanhuan.blog.51cto.com/3367116/1441298 API重放攻击的防御策略分析
http://cn.soulmachine.me/2014-01-24-cluster-time-sync-using-ntp/ 集群时间同步--架设内网NTP服务器
http://andylhz2009.blog.51cto.com/728703/946380 内网外网服务器时间同步解决方案
http://51write.github.io/2014/04/03/ntp/ 如何实现多台机器(系统)时间的同步
百科对重放攻击的描述:https://zh.wikipedia.org/wiki/%E9%87%8D%E6%94%BE%E6%94%BB%E5%87%BB
简而言之,重放攻击的产生是由于安全信息被攻击者截取,用于欺骗服务器。
而在REST风格的软件架构中,如果仅仅使用HTTP协议,请求数据很容易被网络抓包截取,因此在API层面必须考虑防止重放攻击的设计。
二. 防止重放攻击实践
在工程实践中,可以通过时间戳,请求序列号等方式在一定程度上防止大规模的重放攻击。
实现方式不同,效率和难易程度上略有差异,需要根据业务系统实际需求选择合适的方式。
1. 使用时间戳方式
在请求参数中添加时间戳参数,服务器端首先验证时间戳timestamp是否有效,比如是服务器时间戳5分钟之前的请求视为无效;
优点:实现简单
缺点:需要客户端和服务器时钟同步,存在重放攻击时间窗口。
2. 使用请求序列号方式
虽然使用时间戳方式可以在一定程度上控制重放攻击,但是存在时间限制。在指定时间窗口下,任然不可避免会受到攻击。
服务器端和客户端约定一个序列号生成算法(保证全局唯一性),客户端每次请求时都需要携带请求序列号。
服务器端接到请求时,先验证序列号是否合法,不合法直接拒绝。否则查看缓存中是否已经存在过该序列号,若已经存在,表明该请求已经被处理,不允许再次调用。
本次处理完毕,将请求序列号缓存。
这样可以保证一个序列号对应的请求只会被处理一次,相对比较安全地杜绝了重放攻击。
优点:不需要客户端和服务器时钟同步,每个请求只允许被处理一次,杜绝重放攻击。
缺点:实现相对复杂,客户端序列号生成算法存在被破解的风险。
3. 总结
涉及到安全问题,再怎么强调都不为过。
安全防护也不是单一的,需要多层次的检测。如:除了在应用层进行保护,常常还会在外层部署安全网关。
结合实际的业务需求,选择合理的安全实现机制即可。
【参考】
http://yuanhuan.blog.51cto.com/3367116/1441298 API重放攻击的防御策略分析
http://cn.soulmachine.me/2014-01-24-cluster-time-sync-using-ntp/ 集群时间同步--架设内网NTP服务器
http://andylhz2009.blog.51cto.com/728703/946380 内网外网服务器时间同步解决方案
http://51write.github.io/2014/04/03/ntp/ 如何实现多台机器(系统)时间的同步
相关文章推荐
- 细说REST API安全之防止数据篡改
- 细说REST API安全之访问授权
- 使用 OpenSSL API 进行安全编程,第 2 部分: 安全握手 防止中间人(MITM)攻击
- PHP、Java、C#实现URI参数签名算法,确保应用与REST服务器之间的安全通信,防止Secret Key盗用、数据篡改等恶意攻击行为
- 使用 OpenSSL API 进行安全编程,第 2 部分: 安全握手--防止中间人(MITM)攻击
- Java实现URI参数签名算法,确保应用与REST服务器之间的安全通信,防止Secret Key盗用、数据篡改等恶意攻击行为
- Java实现URI参数签名算法,确保应用与REST服务器之间的安全通信,防止Secret Key盗用、数据篡改等恶意攻击行为
- Java实现URI参数签名算法,确保应用与REST服务器之间的安全通信,防止Secret Key盗用、数据篡改等恶意攻击行为
- 网站安全的常见攻击方式防止
- shiro安全框架扩展教程--如何防止可执行文件的入侵攻击
- REST API 安全设计指南
- 前端安全系列之二:如何防止CSRF攻击?
- 常用安全设置防止黑客攻击入侵的方法
- 网站安全配置(Nginx)防止网站被攻击(包括使用了CDN加速之后的配置方法)
- 身份认证防止重放攻击的challenge-response方法
- 细说REST API安全之概述
- Webix1.1新增了服务器端集成的改善,REST API和XSS安全的支持
- 看好你的门-确保验证机制的安全(4)-防止蛮力攻击登陆
- REST API 安全设计指南
- REST API 安全设计指南