是否可以通过 HTTPS 复制相同的 POST 数据?

【问题标题】:Is it possible to have duplicates of the same POST data over HTTPS?是否可以通过 HTTPS 复制相同的 POST 数据?
【发布时间】:2015-02-02 11:22:15
【问题描述】:

例如.. POST 请求包含向服务器发送给用户 X 10 美元的命令。它是通过 HTTPS 发送的,所以中间人攻击一切正常。

但是,攻击者是否有可能嗅探数据包(忽略内容),然后创建相同数据包的副本,然后将其多个副本发送到服务器,就好像它们来自合法来源一样。

如果一个 POST 请求将用户 X 账户余额增加 10 美元,如果同一个数据包被重传 10 次,这种漏洞不会让用户 X 账户拥有 100 美元吗?

HTTPS 是否有一些令牌检查机制来防止这种攻击?

【问题讨论】:

    标签: security post ssl https


    【解决方案1】:

    HTTPS 是否有一些令牌检查机制来防止这种攻击?

    SSL 连接可以防止重放攻击。

    【讨论】:

    • 感谢您的回复。有什么我可以参考的资源吗?
    • @l33t:我知道google 可能很难使用,但您会在第一个结果中找到所需的所有信息。
    • 感谢您的帮助。
    【解决方案2】:

    不完全是令牌检查机制,而是页面索引和抓取的概念。我不太确定细节,但在以下链接中有很好的解释:

    Cross Site Forgeries

    Five steps to secure duplicate contents in https

    【讨论】:

    • 第一个链接为我提供了一些关于我的问题的见解,看来我必须实现一个 CSRF 令牌系统,每个令牌每次交易只能使用一次,如果相同的令牌被发送两次同一笔交易,将被检测为欺诈。我说的对吗?
    猜你喜欢
    • 2013-09-29
    • 2019-06-15
    • 2019-01-17
    • 1970-01-01
    • 2012-03-22
    • 2013-04-02
    • 2022-01-14
    • 2012-10-27
    • 2018-01-11
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode