【问题标题】:How does digest authentication prevents replay attacks?摘要式身份验证如何防止重放攻击?
【发布时间】:2010-10-27 09:29:50
【问题描述】:

我在 stackoverflow 上发现了很多关于摘要式身份验证的问题。我找不到摘要身份验证如何防止重放攻击?我使用 fiddler 工具来拦截对服务器的 http 请求。我使用相同的工具将请求重播到服务器,但服务器要求进行身份验证。

我需要准确了解如何防止重放攻击。服务器如何能够检测到任何 http 请求的重放?

任何链接/资源将不胜感激。

【问题讨论】:

    标签: security http cryptography digest digest-authentication


    【解决方案1】:

    摘要式身份验证通过使用服务器指定的nonce 来防止重放攻击。当客户端尝试发出未经身份验证的请求时,服务器会生成一个随机随机数,客户端必须将随机数合并到其响应中。由服务器来管理有效的 nonce,并在它们被使用时使它们失效,以防止重放。

    【讨论】:

    • Wiki 对这个过程有很好的描述。请注意,这只能防止重放攻击如果服务器支持此可选操作,但此过程的缺点是服务器永远不会经过身份验证。请注意,一旦通过身份验证,这并不能防止(之后)会话劫持。 en.wikipedia.org/wiki/Digest_access_authentication
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2017-09-05
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多