PHP基于timestamp和nonce实现的防止重放攻击方案分析


Posted in PHP onJuly 26, 2019

本文实例讲述了PHP基于timestamp和nonce实现的防止重放攻击方案。分享给大家供大家参考,具体如下:

以前总是通过timestamp来防止重放攻击,但是这样并不能保证每次请求都是一次性的。今天看到了一篇文章介绍的通过nonce(Number used once)来保证一次有效,感觉两者结合一下,就能达到一个非常好的效果了。

重放攻击是计算机世界黑客常用的攻击方式之一,所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。

首先要明确一个事情,重放攻击是二次请求,黑客通过抓包获取到了请求的HTTP报文,然后黑客自己编写了一个类似的HTTP请求,发送给服务器。也就是说服务器处理了两个请求,先处理了正常的HTTP请求,然后又处理了黑客发送的篡改过的HTTP请求。

基于timestamp的方案

每次HTTP请求,都需要加上timestamp参数,然后把timestamp和其他参数一起进行数字签名。因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间相比较,是否超过了60s,如果超过了则认为是非法的请求。

假如黑客通过抓包得到了我们的请求url:
http://koastal.site/index/Info?uid=ZX07&stime=1480862753&sign=80b886d71449cb33355d017893720666

其中

$sign=md5($uid.$token.$stime);
// 服务器通过uid从数据库中可读出token

一般情况下,黑客从抓包重放请求耗时远远超过了60s,所以此时请求中的stime参数已经失效了。
如果黑客修改stime参数为当前的时间戳,则sign参数对应的数字签名就会失效,因为黑客不知道token值,没有办法生成新的数字签名。

但这种方式的漏洞也是显而易见的,如果在60s之内进行重放攻击,那就没办法了,所以这种方式不能保证请求仅一次有效。

基于nonce的方案

nonce的意思是仅一次有效的随机字符串,要求每次请求时,该参数要保证不同,所以该参数一般与时间戳有关,我们这里为了方便起见,直接使用时间戳的16进制,实际使用时可以加上客户端的ip地址,mac地址等信息做个哈希之后,作为nonce参数。
我们将每次请求的nonce参数存储到一个“集合”中,可以json格式存储到数据库或缓存中。
每次处理HTTP请求时,首先判断该请求的nonce参数是否在该“集合”中,如果存在则认为是非法请求。

假如黑客通过抓包得到了我们的请求url:
http://koastal.site/index/Info?uid=ZX07&nonce=58442c21&sign=80b886d71449cb33355d017893720666

其中

$sign=md5($uid.$token.$nonce);
// 服务器通过uid从数据库中可读出token

nonce参数在首次请求时,已经被存储到了服务器上的“集合”中,再次发送请求会被识别并拒绝。
nonce参数作为数字签名的一部分,是无法篡改的,因为黑客不清楚token,所以不能生成新的sign。

这种方式也有很大的问题,那就是存储nonce参数的“集合”会越来越大,验证nonce是否存在“集合”中的耗时会越来越长。我们不能让nonce“集合”无限大,所以需要定期清理该“集合”,但是一旦该“集合”被清理,我们就无法验证被清理了的nonce参数了。也就是说,假设该“集合”平均1天清理一次的话,我们抓取到的该url,虽然当时无法进行重放攻击,但是我们还是可以每隔一天进行一次重放攻击的。而且存储24小时内,所有请求的“nonce”参数,也是一笔不小的开销。

基于timestamp和nonce的方案

那我们如果同时使用timestamp和nonce参数呢?
nonce的一次性可以解决timestamp参数60s的问题,timestamp可以解决nonce参数“集合”越来越大的问题。

我们在timestamp方案的基础上,加上nonce参数,因为timstamp参数对于超过60s的请求,都认为非法请求,所以我们只需要存储60s的nonce参数的“集合”即可。

假如黑客通过抓包得到了我们的请求url:
http://koastal.site/index/Info?uid=ZX07&stime=1480862753&nonce=58442c21&sign=80b886d71449cb33355d017893720666

其中

$sign=md5($uid.$token.$stime.$nonce);
// 服务器通过uid从数据库中可读出token

如果在60s内,重放该HTTP请求,因为nonce参数已经在首次请求的时候被记录在服务器的nonce参数“集合”中,所以会被判断为非法请求。超过60s之后,stime参数就会失效,此时因为黑客不清楚token的值,所以无法重新生成签名。

综上,我们认为一次正常的HTTP请求发送不会超过60s,在60s之内的重放攻击可以由nonce参数保证,超过60s的重放攻击可以由stime参数保证。

因为nonce参数只会在60s之内起作用,所以只需要保存60s之内的nonce参数即可。

我们并不一定要每个60s去清理该nonce参数的集合,只需要在新的nonce到来时,判断nonce集合最后一次修改时间,超过60s的话,就清空该集合,存放新的nonce参数集合。其实nonce参数集合可以存放的时间更久一些,但是最少是60s。
随机数集合可以根据业务场景采用定期清理或根据大小自动清理的方案,例如该接口每秒的请求数最高为1000,则60s内的请求数量最多为1500*60=90000,则我们在每次请求后检查集合大小是否超过90000,若超高该数量则清空。

验证流程

//判断stime参数是否有效
if( $now - $stime > 60){
  die("请求超时");
}
//判断nonce参数是否在“集合”已存在
if( in_array($nonce,$nonceArray) ){
  die("请求仅一次有效");
}
//验证数字签名
if ( $sign != md5($uid.$token.$stime.$nonce) ){
  die("数字签名验证失败");
}
/*
if( $now - $nonceArray->lastModifyTime > 60 ){
  $nonceArray = null;
}
$nonceArray.push($nonce);
*/
//处理随机数
$key = 'nonce'+$uid;
if($redis->sismember($key,$nonce) === true){
  die('拒绝重放攻击请求');
}
if($redis->scard($key) > 90000){
  $redis->del($key);
}
$redis->sadd($key,$nonce);
//重放攻击检查完成

参考文章:

http://www.360doc.com/content/14/0116/16/834950_345740386.shtml

希望本文所述对大家PHP程序设计有所帮助。

PHP 相关文章推荐
一周学会PHP(视频)Http下载
Dec 12 PHP
php 全文搜索和替换的实现代码
Jul 29 PHP
Windows下部署Apache+PHP+MySQL运行环境实战
Aug 31 PHP
PHP学习笔记之字符串编码的转换和判断
May 22 PHP
phpnow php探针环境检测代码
Nov 04 PHP
Discuz论坛密码与密保加密规则
Dec 19 PHP
PHP符合PSR编程规范的实例分享
Dec 21 PHP
PHP递归实现汉诺塔问题的方法示例
Nov 25 PHP
PHP获取MySQL执行sql语句的查询时间方法
Aug 21 PHP
laravel5.1框架model类查询的实现方法
Oct 08 PHP
php 使用expat方式解析xml文件操作示例
Nov 26 PHP
PHP实现单例模式建立数据库连接的方法分析
Feb 11 PHP
YII2.0框架行为(Behavior)深入详解
Jul 26 #PHP
php使用socket调用http和smtp协议实例小结
Jul 26 #PHP
php使用curl模拟多线程实现批处理功能示例
Jul 25 #PHP
yii框架使用分页的方法分析
Jul 25 #PHP
php实现的生成排列算法示例
Jul 25 #PHP
Yii框架中使用PHPExcel的方法分析
Jul 25 #PHP
PHP保留两位小数的几种方法
Jul 24 #PHP
You might like
tp5(thinkPHP5)操作mongoDB数据库的方法
2018/01/20 PHP
Laravel实现ORM带条件搜索分页
2019/10/24 PHP
不要小看注释掉的JS 引起的安全问题
2008/12/27 Javascript
js 获取服务器控件值的代码
2010/03/05 Javascript
jquery.validate使用攻略 第二部
2010/07/01 Javascript
jquery slibings选取同级其他元素的实现代码
2013/11/15 Javascript
Google 地图获取API Key详细教程
2016/08/06 Javascript
JS读写CSS样式的方法汇总
2016/08/16 Javascript
浅谈jQuery中的eq()与DOM中element.[]的区别
2016/10/28 Javascript
jQuery如何跳转到另一个网页 就这么简单
2016/12/28 Javascript
js实现固定宽高滑动轮播图效果
2017/01/13 Javascript
微信小程序实现默认第一个选中变色效果
2018/07/17 Javascript
如何从零开始手写Koa2框架
2019/03/22 Javascript
[03:02]辉夜杯主赛事第二日 每日之星
2015/12/27 DOTA
python实现根据图标提取分类应用程序实例
2014/09/28 Python
Python基于Matplotlib库简单绘制折线图的方法示例
2017/08/14 Python
Python中enumerate()函数编写更Pythonic的循环
2018/03/06 Python
python 处理dataframe中的时间字段方法
2018/04/10 Python
Python多进程池 multiprocessing Pool用法示例
2018/09/07 Python
CentOS下Python3的安装及创建虚拟环境的方法
2018/11/28 Python
Django之创建引擎索引报错及解决详解
2019/07/17 Python
Python协程操作之gevent(yield阻塞,greenlet),协程实现多任务(有规律的交替协作执行)用法详解
2019/10/14 Python
Python 实现日志同时输出到屏幕和文件
2020/02/19 Python
Django多数据库配置及逆向生成model教程
2020/03/28 Python
Python爬虫入门有哪些基础知识点
2020/06/02 Python
Python读取二进制文件代码方法解析
2020/06/22 Python
Oasis服装官网:时尚女装在线
2020/07/09 全球购物
.NET里面如何取得当前的屏幕分辨率
2012/12/06 面试题
电钳工人个人求职信
2014/05/10 职场文书
2014年电教工作总结
2014/12/19 职场文书
经理聘任证明
2015/03/02 职场文书
2014年个人年终总结
2015/03/09 职场文书
先进个人事迹材料(2016推荐版)
2016/03/01 职场文书
golang DNS服务器的简单实现操作
2021/04/30 Golang
js之ajax文件上传
2021/05/13 Javascript
分析并发编程之LongAdder原理
2021/06/29 Java/Android