是否可以使用 Fiddler/TamperData 重播 HTTPS 请求,可能是由于登录过程处理不当?一旦我注销我的系统 (https),我就可以使用重播重新登录。Simon Buchan 已经提到过 HTTPS 无法重放。参考:https ://stackoverflow.com/a/2770133/1502619
如果重播让我登录,这是否意味着我的登录没有处理重播攻击,还是我没有正确注销?
问问题
2795 次
1 回答
1
Simon Buchan(正确地)指出,客户端不能将完全相同的加密字节发送到 HTTPS 服务器并让它接受它们为有效字节;HTTPS 提供的保护之一是防止这种“盲目”重播。
Fiddler 和 TamperData 所做的不是一回事——这些工具以相同的未加密字节(例如您的用户名和密码)开始,并与服务器建立新的HTTPS 连接,然后再次向服务器发送 HTTPS 请求新的连接。
因此,它是相同 HTTPS 请求的重放,而不是相同原始字节的重放。
没有实用的方法可以阻止可以访问未加密数据的工具(如 Fiddler 拥有)使用该信息登录您的站点。
于 2014-01-03T19:14:58.563 回答