例如.. POST請求包含命令給服務器給用戶X $ 10。它是通過HTTPS發送的,所以從中間人攻擊都很好。是否可以通過HTTPS複製相同的POST數據?
但是,攻擊者是否有可能嗅探數據包(忽略內容),然後創建相同數據包的副本,然後將多個副本發送到服務器,就好像它們來自合法來源。
如果一個POST請求將用戶X帳戶餘額遞增10美元,那麼如果同一個數據包重新傳輸10次,這種漏洞使用戶X帳戶不會有100美元嗎?
HTTPS是否有一些令牌檢查機制來防止這種攻擊?
例如.. POST請求包含命令給服務器給用戶X $ 10。它是通過HTTPS發送的,所以從中間人攻擊都很好。是否可以通過HTTPS複製相同的POST數據?
但是,攻擊者是否有可能嗅探數據包(忽略內容),然後創建相同數據包的副本,然後將多個副本發送到服務器,就好像它們來自合法來源。
如果一個POST請求將用戶X帳戶餘額遞增10美元,那麼如果同一個數據包重新傳輸10次,這種漏洞使用戶X帳戶不會有100美元嗎?
HTTPS是否有一些令牌檢查機制來防止這種攻擊?
HTTPS是否有一些象徵性的檢查機制,以防止這種攻擊?
SSL連接可以防止重放攻擊。
完全不是令牌檢查機制,而是頁面索引和爬行的概念。我沒有多少把握的細節,但它在以下鏈接很好的解釋:
第一個鏈接爲我提供了一些有關我的問題的見解,似乎我必須實現一個CSRF令牌系統,每個令牌只能在每個事務中使用一次,並且如果同一令牌在同一事務中發送兩次,將被檢測爲欺詐行爲。我對嗎? – l33t 2014-12-05 03:24:44
感謝您的回覆。我可以參考的任何資源? – l33t 2014-12-07 08:02:56
@ l33t:我知道可能很難使用[google](https://www.google.de/search?q=ssl+replay+attack),但您可以在其中找到所需的所有信息第一個結果。 – 2014-12-07 08:59:00
感謝您的幫助。 – l33t 2014-12-07 13:42:54