Nonce 如何保護 Web 要求免受重播攻擊？

如何使用Nonce 保護Web 請求

問題

使用者找到了利用網站評分系統的請求驗證系統的方法，方法是：複製高價值的HTTP 請求。這會損害系統的完整性和可靠性。

解決方案：實作 Nonce 系統

Nonce（使用過一次的數字）是透過確保特定請求未被處理來防止請求重播攻擊的值。之前做的。這是實現隨機數字系統的常見且安全的方法：

伺服器端隨機數產生和驗證

getNonce() 函數

• 識別發出請求的客戶端（例如，透過使用者名稱、會話）。
• 使用安全雜湊函數（例如 SHA512）產生隨機數。
• 將隨機數儲存在與客戶端的 ID。
• 將隨機數字回傳給客戶端。

verifyNonce() 函數

• 取得先前儲存的隨機數用於客戶端 ID。
• 從資料庫中刪除隨機數（以防止其重複使用）。
• 使用客戶端提供的隨機數 (cnonce)、請求資料和產生雜湊秘密鹽。
• 將產生的雜湊值與客戶端提供的雜湊值進行比較。
• 如果雜湊值匹配，則傳回 true，表示有效的隨機數。

客戶端-Side Nonce 使用

sendData() 函數

• 使用getNonce() 函數從伺服器擷取隨機數字。
• 產生一個使用安全雜湊函數的客戶端特定隨機數 (cnonce)。
• 連線伺服器隨機數、客戶端隨機數和請求資料。
• 根據連線值產生雜湊。
• 將請求傳送到伺服器，包括資料、cnonce 和雜湊。

安全注意事項

• 隨機 Nonce 產生： makeRandomString( ) 函數應產生高度不可預測的隨機數以增強安全性。
• 安全雜湊函數：利用 SHA512 或 bcrypt 等強大的雜湊函數進行與 nonce 相關的雜湊計算。
• 每個請求一次性使用：隨機數只能使用一次並從儲存中刪除，以防止重播攻擊。

以上是Nonce 如何保護 Web 要求免受重播攻擊？的詳細內容。更多資訊請關注PHP中文網其他相關文章！