Nonce를 사용하여 웹 요청을 보호하는 방법

문제

사용자는 다음과 같이 웹 사이트 채점 시스템의 요청 확인 시스템을 활용하는 방법을 찾았습니다. 높은 가치의 HTTP 요청을 복제합니다. 이는 시스템의 무결성과 신뢰성을 손상시킵니다.

해결책: Nonce 시스템 구현

Nonce(한 번 사용되는 숫자)는 특정 요청이 발생하지 않았는지 확인하여 요청 재생 공격을 방지하는 값입니다. 전에 만든. Nonce 시스템을 구현하는 일반적이고 안전한 방법은 다음과 같습니다.

서버측 Nonce 생성 및 확인

getNonce() 함수

• 요청하는 클라이언트를 식별합니다(예: 사용자 이름, 세션으로).
• 보안을 사용하여 임의의 nonce를 생성합니다. 해시 함수(예: SHA512).
• 클라이언트 ID와 연결된 데이터베이스에 nonce를 저장합니다.
• nonce를 클라이언트에 반환합니다.

verifyNonce() 함수

• 에 대해 이전에 저장된 nonce를 가져옵니다. 클라이언트 ID.
• 데이터베이스에서 nonce를 제거합니다(재사용 방지).
• 클라이언트 제공 nonce(cnonce), 요청 데이터 및 비밀을 사용하여 해시를 생성합니다. salt.
• 생성된 해시를 클라이언트가 제공한 해시와 비교합니다.
• 해시가 일치하는 경우 true를 반환합니다. 일치하여 유효한 nonce를 나타냅니다.

클라이언트측 nonce 사용

sendData() 함수

• 에서 nonce를 검색합니다. getNonce() 함수를 사용하여 서버.
• 보안을 사용하여 클라이언트별 nonce(cnonce)를 생성합니다. 해시 함수.
• 서버 nonce, 클라이언트 nonce 및 요청 데이터를 연결합니다.
• 연결된 값에서 해시를 생성합니다.
• 서버에 요청을 보냅니다. 데이터, 확인 및 해시.

보안 고려 사항

• 임의 nonce 생성: makeRandomString() 함수는 보안을 강화하기 위해 매우 예측할 수 없는 난수를 생성해야 합니다.
• 보안 해시 함수: nonce 관련 해시에는 SHA512 또는 bcrypt와 같은 강력한 해시 기능을 활용하세요. 계산.
• 요청당 단일 사용: Nonce는 한 번만 사용해야 하며 재생 공격을 방지하기 위해 저장소에서 제거해야 합니다.