摘要式身份验证如何防止重放攻击？

关键词：

【中文标题】摘要式身份验证如何防止重放攻击？【英文标题】：How does digest authentication prevents replay attacks? 【发布时间】：2010-10-27 09:29:50 【问题描述】：

我在 *** 上发现了很多关于摘要式身份验证的问题。我找不到摘要身份验证如何防止重放攻击？我使用 fiddler 工具来拦截对服务器的 http 请求。我使用相同的工具将请求重播到服务器，但服务器要求进行身份验证。

我需要准确了解如何防止重放攻击。服务器如何能够检测到任何 http 请求的重放？

任何链接/资源将不胜感激。

【问题讨论】：

【参考方案1】：

摘要式身份验证通过使用服务器指定的nonce 来防止重放攻击。当客户端尝试发出未经身份验证的请求时，服务器会生成一个随机随机数，客户端必须将随机数合并到其响应中。由服务器来管理有效的 nonce，并在它们被使用时使它们失效，以防止重放。

【讨论】：

Wiki 对这个过程有很好的描述。请注意，这只能防止重放攻击如果服务器支持此可选操作，但此过程的缺点是服务器永远不会经过身份验证。请注意，一旦通过身份验证，这并不能防止（之后）会话劫持。 en.wikipedia.org/wiki/Digest_access_authentication

防止重放攻击最有效的方法是

...，还可以使用加密技术，通过创建一个只能用一次的加密摘要来阻止重放攻击，就像一次性密码一样。参考技术A最有效的防止重放攻击的方法是使用时间戳。使用时间戳可以确保请求是有效的，且不会被重复使用。另外，还可... 查看详情

HTTPS 和摘要式身份验证

】HTTPS和摘要式身份验证【英文标题】：HTTPS&DigestAuthentication【发布时间】：2009-12-2817:10:56【问题描述】：如何在C#.Net中实现带有摘要式身份验证的HTTPS？根据msdn，凭据类不支持SSL..那么我们如何实现身份验证呢？我的代码适... 查看详情

您如何将 JMeter 与摘要式身份验证一起使用？

】您如何将JMeter与摘要式身份验证一起使用？【英文标题】：HowdoyouuseJMeterwithDigestAuthentication?【发布时间】：2011-08-0120:45:24【问题描述】：我正在尝试使用JMeter测试Web应用程序，但没有关于如何设置它以使用摘要式身份验证的文... 查看详情

服务器首先是如何获得密码的？预（摘要式身份验证）注册

】服务器首先是如何获得密码的？预（摘要式身份验证）注册【英文标题】：Howdidtheservergetthepasswordinfirstplace?Pre(DigestAuthentication)registration【发布时间】：2013-11-2921:10:31【问题描述】：在我读过的所有关于摘要式身份验证的解释... 查看详情

身份认证防止重放攻击的challenge-response方法

...询问-应答机制。基于挑战/应答（Challenge/Response）方式的身份认证系统就是每次认证时认证服务器端都给客户端发送一个不同的"挑战"字串，客户端程序收到这个"挑战"字串后，做出相应的"应答",以此机制而研制的系统.认证过程... 查看详情

重放攻击

...这种方式防止不了重放攻击。3.重放攻击的防御1)时间戳验证请求时加上客户端当前时间戳，同时签名（签名是为了防止会话被劫持，时间戳被修改），服务端对请求时间戳进行判断，如超过5分钟，认定为重放攻击，请求无效。... 查看详情

重放攻击（replayattacks）

...这种方式防止不了重放攻击。3.重放攻击的防御1)时间戳验证请求时加上客户端当前时间戳 查看详情

重放攻击（replayattacks）

...这种方式防止不了重放攻击。3.重放攻击的防御1)时间戳验证请求时加上客户端当前时间戳 查看详情

时间戳如何帮助防止 Web 服务中的重放攻击

】时间戳如何帮助防止Web服务中的重放攻击【英文标题】：HowdoesTimestamphelpsinpreventingReplayAttacksinwebservices【发布时间】：2012-04-1819:21:18【问题描述】：我正在尝试理解Web服务中请求标头中时间戳的概念，但不知何故仍然无法完全... 查看详情

为 HTTP 摘要式身份验证编写测试/方法

】为HTTP摘要式身份验证编写测试/方法【英文标题】：WritingaTest/MethodforHTTPDigestAuthentication【发布时间】：2012-11-1700:51:15【问题描述】：我将如何编写一个用于rspec测试的方法来访问需要用户名和密码以进行HTTPDigest身份验证的页面... 查看详情

如何防止 PHP、csrf、xsrf 中的表单重放/中间人攻击

】如何防止PHP、csrf、xsrf中的表单重放/中间人攻击【英文标题】：Howtopreventformreplay/man-in-the-middleattackinPHP,csrf,xsrf【发布时间】：2010-12-0510:20:13【问题描述】：我有一个网络表单，我正在使用PHP。我知道表单可以被操纵（我相信... 查看详情

使用 HttpURLConnection 进行摘要式身份验证

】使用HttpURLConnection进行摘要式身份验证【英文标题】：DigestauthenticationusingHttpURLConnection【发布时间】：2011-01-1520:45:43【问题描述】：我在GAE上托管我的java应用程序。我必须下载一些外部RSS页面并对其进行解析。问题是外部站点... 查看详情

摘要式身份验证后的 XML 变量

】摘要式身份验证后的XML变量【英文标题】：VarwithXMLafterDigestAuthentication【发布时间】：2013-07-1114:06:37【问题描述】：摘要式身份验证后：varresultText=Digester.GrabResponse("/blabla");我在varresulText中有这个：<?xmlversion="1.0"encoding="utf-8"?... 查看详情

ROBOTFRAMEWORK 的摘要式身份验证

】ROBOTFRAMEWORK的摘要式身份验证【英文标题】：DigestAuthenticationforROBOTFRAMEWORK【发布时间】：2015-03-2013:45:38【问题描述】：下面是在设备上测试rest接口的脚本的开头，该设备有一个带有摘要式身份验证的https服务器。这是我在下面... 查看详情

使用 URLConnection 进行摘要式身份验证

】使用URLConnection进行摘要式身份验证【英文标题】：DigestauthenticationusingURLConnection【发布时间】：2010-11-2516:06:57【问题描述】：我正在实施单点登录功能，以便使用摘要身份验证自动登录附属的https网站。目前我的代码是URLurl=new... 查看详情

为啥在 Django 中需要基本或摘要式身份验证？

】为啥在Django中需要基本或摘要式身份验证？【英文标题】：WhydoyouneedbasicordigestauthenticationinDjango?为什么在Django中需要基本或摘要式身份验证？【发布时间】：2016-11-2113:17:05【问题描述】：我正在努力在Django中使用apache和modwsgi... 查看详情

通过用户身份验证（Node/Vue/Passport）防止中间人攻击

】通过用户身份验证（Node/Vue/Passport）防止中间人攻击【英文标题】：Preventingman-in-the-middleattackswithuserauthentication(Node/Vue/Passport)【发布时间】：2019-06-2002:13:13【问题描述】：我目前有一个使用Passport处理身份验证的Node/Vuejs编写的w... 查看详情

具有摘要式身份验证的 ASP.Net Web API

】具有摘要式身份验证的ASP.NetWebAPI【英文标题】：ASP.NetWebAPIwithDigestAuthentication【发布时间】：2015-01-1406:19:40【问题描述】：我已经编写了一堆ASP.NetWebAPI，我想对其中的一些API进行身份验证。我已经从here开始使用DigestAuthentication... 查看详情