例如.. POST请求包含命令给服务器给用户X $ 10。它是通过HTTPS发送的,所以从中间人攻击都很好。是否可以通过HTTPS复制相同的POST数据?
但是,攻击者是否有可能嗅探数据包(忽略内容),然后创建相同数据包的副本,然后将多个副本发送到服务器,就好像它们来自合法来源。
如果一个POST请求将用户X帐户余额递增10美元,那么如果同一个数据包重新传输10次,这种漏洞使用户X帐户不会有100美元吗?
HTTPS是否有一些令牌检查机制来防止这种攻击?
例如.. POST请求包含命令给服务器给用户X $ 10。它是通过HTTPS发送的,所以从中间人攻击都很好。是否可以通过HTTPS复制相同的POST数据?
但是,攻击者是否有可能嗅探数据包(忽略内容),然后创建相同数据包的副本,然后将多个副本发送到服务器,就好像它们来自合法来源。
如果一个POST请求将用户X帐户余额递增10美元,那么如果同一个数据包重新传输10次,这种漏洞使用户X帐户不会有100美元吗?
HTTPS是否有一些令牌检查机制来防止这种攻击?
HTTPS是否有一些象征性的检查机制,以防止这种攻击?
SSL连接可以防止重放攻击。
完全不是令牌检查机制,而是页面索引和爬行的概念。我没有多少把握的细节,但它在以下链接很好的解释:
第一个链接为我提供了一些有关我的问题的见解,似乎我必须实现一个CSRF令牌系统,每个令牌只能在每个事务中使用一次,并且如果同一令牌在同一事务中发送两次,将被检测为欺诈行为。我对吗? – l33t 2014-12-05 03:24:44
感谢您的回复。我可以参考的任何资源? – l33t 2014-12-07 08:02:56
@ l33t:我知道可能很难使用[google](https://www.google.de/search?q=ssl+replay+attack),但您可以在其中找到所需的所有信息第一个结果。 – 2014-12-07 08:59:00
感谢您的帮助。 – l33t 2014-12-07 13:42:54