Bagaimanakah sistem nonce boleh dilaksanakan untuk melindungi integriti laman web dan mencegah pertindihan permintaan?-tutorial php-php.cn

Bagaimanakah sistem nonce boleh dilaksanakan untuk melindungi integriti laman web dan mencegah pertindihan permintaan?

Mary-Kate Olsen

Lepaskan： 2024-11-16 11:24:02

asal

302 orang telah melayarinya

How can a nonce system be implemented to safeguard website integrity and prevent request duplication?

Melaksanakan Sistem Nonce untuk Melindungi Integriti Laman Web

Masalah:

Sistem pemarkahan tapak web, yang menggunakan pencincangan untuk memastikan Integriti permintaan HTTP, sedang dieksploitasi melalui pertindihan permintaan. Penyerang mencapai markah tinggi dan mereplikasi butiran permintaan untuk memanipulasi sistem.

Penyelesaian Nonce:

Untuk memerangi serangan ini, adalah bijak untuk melaksanakan sistem nonce. Nonces (nombor digunakan sekali) memberikan nilai unik untuk setiap permintaan, menghalang penggunaan semula permintaan yang sama.

Cara Biasa dan Selamat untuk Menyediakan Sistem Nonce:

Fungsi Bahagian Pelayan:

getNonce(): Menghasilkan nonce, menyimpannya dalam pangkalan data dan mengembalikannya kepada klien.
verifyNonce( $data, $cnonce, $hash): Mendapatkan semula nonce yang disimpan, membandingkannya dengan nonce dan cincang yang dibekalkan pelanggan, dan mengesahkan permintaan.

Fungsi Bahagian Pelanggan:

sendData($data): Menjana klien rawak nonce, membina cincang dan menghantar data, klien tidak dan cincang ke pelayan untuk pengesahan.

Butiran Pelaksanaan:

Fungsi makeRandomString() mencipta rentetan atau nombor rawak selamat.
Fungsi cincang yang digunakan dalam kedua-dua bahagian klien dan pelayan- kod sisi mesti sepadan.
Untuk mengelakkan penggunaan semula nonce, adalah penting untuk mengalih keluar nonce daripada pangkalan data selepas pengesahan berjaya.
Pelayan mesti mengenal pasti setiap permintaan untuk mengenal pasti dan menyimpan nonce dengan sewajarnya.

Contoh Sistem Nonce:

// Server-Side
getNonce() {
    $id = identifyRequest();
    $nonce = hash('sha512', makeRandomString());
    storeNonce($id, $nonce);
    return $nonce;
}

verifyNonce($data, $cnonce, $hash) {
    $id = identifyRequest();
    $nonce = getNonce($id);
    removeNonce($id, $nonce);
    $testHash = hash('sha512', $nonce . $cnonce . $data);
    return $testHash == $hash;
}

// Client-Side
sendData($data) {
    $nonce = getNonceFromServer();
    $cnonce = hash('sha512', makeRandomString());
    $hash = hash('sha512', $nonce . $cnonce . $data);
    $args = ['data' => $data, 'cnonce' => $cnonce, 'hash' => $hash];
    sendDataToClient($args);
}

Salin selepas log masuk

Dengan melaksanakan sistem nonce ini, tapak web boleh menghalang pertindihan permintaan dengan berkesan dan mengekalkan integriti sistem pemarkahan.

Atas ialah kandungan terperinci Bagaimanakah sistem nonce boleh dilaksanakan untuk melindungi integriti laman web dan mencegah pertindihan permintaan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!