Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
假设我正在向 REST API 发送 HTTPS 请求。该请求触发付款。
中间的人是否可以捕获请求,猜测它是支付请求并重新提交给 API 以便触发两次支付?
不管通信是用 SSL 加密的,服务器和客户端使用临时身份验证令牌而不是密码,对吗?
我知道这个问题的范围非常广泛和笼统——因此欢迎一般性的回答。
谢谢。
您所描述的称为“重放攻击”,而 TLS/SSL 通常旨在击败它们。
来自TLS RFC:
为了防止消息重放或修改攻击,MAC 由 MAC 秘密、序列号、消息长度、消息内容和两个固定字符串计算得出。