Cara Mencegah Serangan Main di Laman Web Anda

Melawan Serangan Replay: Pendekatan berasaskan token cara mudah

serangan replay, di mana penyerang memintas dan menghantar semula paket rangkaian yang tidak tergolong dalam mereka, sangat berbahaya dan kadang -kadang menyebabkan kerosakan yang serius. Walaupun pada saluran komunikasi yang disulitkan, penyerang boleh melancarkan serangan tersebut tanpa akses kepada kunci penyahsulitan. Penyerang hanya menguping pada baris anda dan secara kasar memahami tugas -tugas yang dilakukan oleh satu set paket tertentu, dan kemudian dengan memulihkan paket atau permintaan tersebut, dapat mengganggu komunikasi anda atau menyebabkan kerosakan yang lebih serius.

Artikel ini akan memperkenalkan kaedah asas yang mudah dan mudah digunakan untuk mencegah laman web daripada tertakluk kepada serangan ulangan. Ia juga menghalang pengguna yang kecewa daripada mengulangi semula permintaan pos terakhir semasa masa yang salah.

Ini jauh dari penyelesaian lengkap. Ia mempunyai kelemahan dan isu yang perlu diselesaikan, tetapi ia memberi anda idea yang kasar tentang bagaimana token dan protokol mudah dapat meningkatkan keselamatan laman web. Kod dan pelaksanaan sampel dilakukan menggunakan ASP.NET dan C#, tetapi konsep itu boleh digunakan untuk mana -mana platform atau bahasa pengaturcaraan lain.

konsep token satu kali

Idea utama penyelesaian yang disediakan dalam artikel ini adalah untuk mengikat setiap respons HTTP kepada rentetan token yang hanya sah untuk permintaan pos seterusnya. Berikut adalah pecahan mudah langkah -langkah yang terlibat:

1. Pelanggan membuat permintaan GET dengan menaip URL atau halaman atau mengklik pautan.
2. pelayan menjana token rawak. Ia kemudian menyimpan salinan token dalam sesi dan membenamkan salinan token ke dalam tag <input type="hidden"> respons yang dihantar kepada pelanggan.
3. Klien memproses kandungan dan menghantar permintaan pos ke pelayan apabila pengguna mengklik butang yang mengandungi token yang dijana secara rawak.
4. Pelayan menerima permintaan dan terus memprosesnya hanya apabila token yang dilampirkan adalah sama dengan token yang disimpan dalam sesi pengguna.
5. pelayan membatalkan token dan kembali ke langkah 2, di mana ia merumuskan tindak balas menggunakan token rawak baru.

Dengan cara ini, walaupun pengguna yang berniat jahat memintas permintaan kritikal yang dihantar ke pelayan, permintaan itu tidak dapat diulangi kerana token yang terkandung dalam permintaan itu tidak lagi sah setelah dihantar ke pelayan. Begitu juga dengan pengguna yang cuai yang tersilap tekan kekunci F5 dan menghantar semula permintaan selepas menghantar maklumat kepada pelayan.

Persekitaran ujian

Untuk melaksanakan konsep token satu kali, kami akan membuat halaman sampel dengan kotak teks mudah dan butang hantar. Kami juga akan menambah kawalan tag untuk memaparkan output ujian.

Kod latar belakang akan menjadi coretan mudah yang menunjukkan masa penyerahan ditambah data yang terkandung dalam kotak teks.

Ini adalah output halaman selepas permintaan awal GET:

Setelah menyerahkan halaman, output akan kelihatan seperti ini:

Masalahnya ialah jika anda menyegarkan halaman, ia akan menerbitkan semula data anda dan mengulangi permintaan terakhir, pelayan akan mengendalikannya tanpa sebarang masalah. Sekarang bayangkan jika anda hanya membuat perjanjian utama $ 1,000,000 dan secara tidak sengaja menekan kekunci F5 pada papan kekunci anda. Atau lebih buruk lagi, sesetengah pengguna berniat jahat memintas permintaan anda, mendapati ia adalah transaksi pembayaran, dan ulangi untuk mencuri dana anda dan membalas dengan anda.

Penyelesaian

Untuk mengelakkan permintaan pos pendua, kami mengemas kini tag untuk menambah medan tersembunyi yang akan menyimpan token.

Seterusnya, kami akan membuat fungsi yang menghasilkan token rawak dan membenamkannya ke dalam medan tersembunyi dan koleksi sesi.

Selepas

, kami akan menukar fungsi page_load () supaya data yang diterbitkan akan dipaparkan hanya jika token yang diterbitkan adalah sama dengan token yang disimpan dalam sesi.

Akhirnya, kami akan mengatasi fungsi OnPrerender () untuk menghasilkan token baru sebelum output akhir dihantar kepada pelanggan. Inilah yang menjadikannya token satu kali, kerana ia mengemas kini setiap kali permintaan baru dihantar.

Sekarang apabila anda mengklik butang untuk menyerahkan borang, ia berfungsi dengan cara yang sama seperti sebelumnya. Walau bagaimanapun, jika anda cuba mensimulasikan serangan ulangan dengan menyegarkan halaman, anda akan menerima ralat berikut kerana token yang dihantar dengan borang itu tidak lagi sama dengan token yang disimpan pada pelayan:

Dengan cara ini, kita boleh membezakan antara butang yang sah klik penyerahan dan permintaan yang diulang semula.

Meningkatkan kod

Walaupun kod ini menyelesaikan masalah serangan replay halaman, ia masih mempunyai beberapa isu yang perlu diselesaikan:

Ia mesti diulang di semua halaman

Jika anda mempunyai banyak tab di laman web yang sama, ia tidak akan berfungsi kerana token dikongsi antara permintaan

Ia sangat hodoh

Sebagai peminat pengaturcaraan berorientasikan objek (OOP) yang gemar, saya telah mencari peluang untuk memanfaatkan kuasa paradigma pengaturcaraan terbaik ini untuk refactor dan memperbaiki kod.

• Untuk menyelesaikan masalah di atas, perkara pertama yang perlu kita lakukan ialah menentukan kelas yang akan merangkumi fungsi penjanaan token. Kami menamakan TokenizedPage kelas dan memperolehnya dari System.Web.ui.page supaya kami dapat menggunakannya untuk halaman pada masa akan datang.

  

  Seterusnya, untuk menjadikan kod lebih mudah untuk membaca dan mengurus, kami merangkumi token halaman dan token sesi menjadi dua sifat yang berbeza yang ditambahkan ke kelas TokenizedPage. Untuk membuat kod mudah untuk pelabuhan di laman web, kami akan menggunakan koleksi ViewState dan bukannya menyembunyikan medan input untuk menyimpan token halaman. Kami juga menggunakan harta Page.Title sebagai kunci untuk menyimpan token dalam sesi. Ini akan meningkatkan kod kami dan sebahagiannya menyelesaikan isu kedua yang akan mengehadkan penggunaan laman web kami ke tab tunggal penyemak imbas. Dengan menggunakan perubahan ini, kami akan dapat membuka halaman yang berbeza dari laman web dalam tab yang berbeza, tetapi kami tidak akan dapat membuka beberapa contoh halaman yang sama dalam tab berasingan, kerana mereka masih berkongsi token. Isu ini akan diselesaikan kemudian.

  Seterusnya, kami menambah harta boolean baca sahaja yang dipanggil Istokenvalid, yang mengikuti contoh-contoh sifat halaman lain seperti Ispostback dan Isvalid. Tujuan harta ini adalah untuk memastikan bahawa token halaman adalah sama dengan token sesi.

  Akhirnya, kami menambah penindasan fungsi GeneraterAndomToken () dan peristiwa OnPrerender (), seperti yang dilakukan dalam persekitaran ujian.

  Sekarang, untuk menggunakan mod token satu kali, kita hanya perlu membuat halaman baru, memperolehnya dari TokenizedPage, dan menggunakan IstokenValid apabila token satu kali diperlukan.

  

  lebih baik.

  menjadikannya lebih baik

  Satu masalah dengan kod ini ialah jika anda mempunyai dua tab dalam penyemak imbas anda yang menunjuk ke halaman yang sama, menerbitkan satu tab akan membatalkan token tab lain kerana mereka menggunakan kunci token sesi yang sama. Ini boleh diselesaikan dengan menambahkan ID Token, yang akan memastikan bahawa setiap urutan tindak balas permintaan yang berlaku dalam satu tab menggunakan set sendiri token unik dan tidak mengganggu permintaan lain pada halaman yang sama. Perkara pertama yang perlu dilakukan ialah mengembalikan kelas TokenizedPage dan menambah harta tokenid. Harta ini menjana ID rawak apabila dipanggil dalam permintaan GET awal untuk kali pertama dan menyimpannya dalam koleksi ViewState untuk penggunaan semula masa depan.

  Seterusnya, kami akan menukar harta sessionHidDentoken untuk menggunakan harta Tokenid dan bukannya menggunakan harta Page.Title.

  

  perkara yang indah ialah kerana kita menggunakan prinsip abstraksi dan enkapsulasi (terima kasih sekali lagi untuk manfaat OOP), kita tidak perlu membuat perubahan lain, dan mekanisme baru akan berfungsi dengan semua halaman yang kita peroleh dari TokenizedPage.
  Soalan yang tinggal
  Inilah yang mengenai mod token satu kali. Terdapat dua soalan yang tersisa:
  Untuk setiap sesi (lebih tepatnya, bilangan permintaan GET yang dihantar ke setiap sesi), bilangan ID yang tidak terhad akan dihasilkan. Ini boleh diselesaikan dengan melaksanakan mekanisme timbunan atau cache yang muncul ID lama apabila mereka melebihi had kuantiti atau tidak digunakan untuk tempoh tertentu. Saya akan meninggalkan pelaksanaannya kepada anda.
  Penjana nombor rawak lalai bukanlah sumber rawak yang paling selamat dan boleh dipercayai yang anda panggil, dan penggodam yang bijak mungkin dapat meramalkan urutan token. Walau bagaimanapun, jika anda menggunakan penyulitan SSL, mereka tidak boleh mendapatkan token itu.
  Adakah anda mempunyai peningkatan untuk menambah atau ingin berkongsi pelaksanaannya dalam platform dan bahasa pengaturcaraan lain? Sila tinggalkan mesej di bahagian komen di bawah.
  Soalan Lazim untuk Mencegah Serangan Replay Laman Web (FAQ)
  Apakah serangan replay dan bagaimana ia berfungsi?
  Replay Attack adalah satu bentuk cyberattack di mana penghantaran data yang berkesan diulang atau ditangguhkan secara berniat jahat atau penipuan. Penyerang melakukan ini dengan memintas dan menghantar semula data, yang mungkin menjadi sebahagian daripada serangan penyamaran melalui penggantian paket IP. Ini menimbulkan ancaman serius terhadap keselamatan komunikasi dan data.
  Bagaimana untuk mengesan serangan ulangan?
  Pengesanan serangan ulangan boleh mencabar kerana data yang dihantar adalah sah dan pada mulanya dihantar oleh pengguna yang diberi kuasa. Walau bagaimanapun, terdapat beberapa tanda bahawa serangan ulangan boleh ditunjukkan. Ini termasuk mencatatkan kelewatan penghantaran pendua atau penghantaran data. Di samping itu, melaksanakan langkah -langkah keselamatan seperti cap waktu dan nombor siri dapat membantu mengesan serangan ulangan.
  Apakah akibat serangan replay?
  Akibat serangan replay boleh menjadi serius, bergantung kepada sifat data yang dipintas. Ia boleh membawa kepada akses yang tidak dibenarkan kepada maklumat sensitif, urus niaga penipuan, dan juga pelanggaran sistem keselamatan. Ini boleh menyebabkan kerugian kewangan, kerosakan reputasi dan potensi kesan undang -undang.
  Bagaimana untuk mengelakkan laman web saya daripada dimainkan semula?
  Terdapat beberapa strategi untuk mencegah serangan ulangan. Ini termasuk penggunaan protokol komunikasi yang selamat (seperti SSL atau TLS), pelaksanaan cap waktu atau nombor siri, dan penggunaan kata laluan satu kali atau nombor rawak. Di samping itu, pemantauan dan pengauditan trafik rangkaian anda boleh membantu mengesan dan mencegah serangan ulangan semula.

  Apakah nombor rawak dan bagaimana ia menghalang serangan ulangan?

  Nombor rawak adalah nombor rawak atau pseudo-rawak yang hanya digunakan sekali dalam sesi komunikasi. Ia menghalang serangan main balik dengan memastikan setiap pemindahan data adalah unik, walaupun data yang sama dihantar beberapa kali. Ini menghalang penyerang daripada memainkan semula penghantaran data dengan jayanya.

  Bagaimana untuk mencegah serangan ulangan dari SSL atau TLS?

  SSL (Secure Socket Layer) dan TLS (keselamatan lapisan pengangkutan) adalah protokol penyulitan yang menyediakan komunikasi selamat rangkaian. Mereka menghalang serangan replay dengan menyulitkan data yang dihantar dan menggunakan gabungan nombor urutan dan cap waktu untuk memastikan keunikan setiap penghantaran data.

  Apakah peranan yang dimainkan oleh timestamp dalam mencegah serangan replay?

  Timestamps boleh memainkan peranan penting dalam mencegah serangan ulangan. Dengan menambah cap waktu untuk setiap pemindahan data, anda dapat memastikan bahawa setiap pemindahan adalah unik dan tidak dapat dimainkan dengan jayanya. Sekiranya penghantaran main balik dikesan, ia dapat dikenal pasti dan dibuang dengan mudah berdasarkan cap waktu.

  Bolehkah serangan replay dilakukan di mana -mana laman web?

  Ya, serangan replay boleh dijalankan di mana -mana laman web tanpa langkah keselamatan yang betul. Walau bagaimanapun, laman web yang menghantar maklumat sensitif, seperti data kewangan atau maklumat peribadi, sangat terdedah kepada serangan.

  Adakah serangan replay biasa?

  Walaupun tidak biasa seperti beberapa jenis cyberattacks lain, serangan replay berlaku dan boleh membawa kesan yang serius. Oleh itu, sangat penting untuk mengambil langkah -langkah untuk mencegahnya.

  Apakah beberapa amalan terbaik untuk mencegah serangan ulangan?

  Beberapa amalan terbaik untuk mengelakkan serangan replay termasuk penggunaan protokol komunikasi yang selamat, menguatkuasakan cap waktu atau nombor siri, menggunakan kata laluan satu kali atau nombor rawak, dan pemantauan berkala dan pengauditan trafik rangkaian anda. Di samping itu, mendidik pengguna anda tentang kepentingan keselamatan dan menggalakkan mereka menggunakan kata laluan yang selamat juga boleh membantu mencegah serangan semula.

  Output yang disemak ini mengekalkan makna asal semasa menggunakan struktur kata dan ayat yang berbeza.

Atas ialah kandungan terperinci Cara Mencegah Serangan Main di Laman Web Anda. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!