专业的信息化与通信融合产品选型平台及垂直门户
注册 登陆 设为首页 加入收藏
首页 企业新闻 招标信息 行业应用 厂商专区 活动 商城 中标信息

资讯
中心

新闻中心 人物观点
厂商专区 市场分析
行业
应用
政府机构 能源产业 金融机构
教育科研 医疗卫生 交通运输
应用
分类
统一协作 呼叫客服 IP语音 视频会议 智能管理 数据库
数字监控 信息安全 IP储存 移动应用 云计算 物联网

TOP

手机客户端开发中的“恶意代理”攻击分析
2013-04-07 11:44:39 来源:博客 作者:【
关键词:系统安全 手机客户端 恶意代理 攻击分析
 
这个是攻击力比较小的方式,只要稍有一些安全意识,就容易防范。典型的攻击方式是通过恶意代理截取到一段明文请求,分析请求格式,然后对其中的一些参数进行修改,再向模拟用户向服务器请求。

  本文从常见恶意代理的几种攻击方式出发,谈一谈如何在安全设计上避免被恶意代理攻击。

  一、报文纂改

  这个是攻击力比较小的方式,只要稍有一些安全意识,就容易防范。典型的攻击方式是通过恶意代理截取到一段明文请求,分析请求格式,然后对其中的一些参数进行修改,再向模拟用户向服务器请求。通过这种方式,可以很容易地破坏用户在服务器上的私有数据。比如,用户本意是发送一个删除某条信息的命令,恶意代理把用户发送的命令修改为清除所有信息。

  对这种报文纂改的攻击,我们可以通过对请求报文进行摘要即可防范。

  二、重放攻击

  这个主要是针对服务器的攻击。服务器中总有那么一些API是性能消耗比较大的,或是为了安全,或是业务比较复杂。恶意代理很可能会截取到用户的一个请求之后,向服务器不停地发送该请求,进行“拒绝服务”攻击,如果服务器对请求无法签别,就会影响对正常用户的服务。对于这种重放攻击,我们可以通过在请求中添加随机数验证来设置请求时效性的方式来解决。有几种具体的手段可以借鉴:

  1、服务器与客户端在第一次请求时进行一次时间同步,客户请求时随机数取请求的当前时间,服务器根据客户端的时间是否与服务器的时间相差太多来判断是否重放攻击。这种方式很容易实现,但由于客户端与服务器的网络交互存在时间差,时效性会稍差。

  2、每次请求服务器在响应时带回下一次请求的随机数,服务器把随机数和正常请求数据一起进行摘要。服务器对每个请求进行验证,如果随机数不正常,则属于重放攻击,判定该请求无效。但这种方式对付比较简单的恶意代理还可以,更强大的恶意代理可以拦截到这个随机数。这种方式最大的问题是无法进行并发请求的验证。

  3、客户端和服务器利用共享密钥来为每次请求生成随机数。比如安全硬件等,服务器还可以为每个客户端生成一个对应密钥,客户端在发送请求时利用密钥生成随机数,并在请求中包含自己的AppKey。服务器接收到请求时,根据该客户端的AppKey查询到该客户端的密钥,再利用密钥生成对应的随机数,如果该随机数与客户端发送过来的相同,则请求正常,否则,可判断该请求为重放攻击。这种方式的缺点是一旦客户端的AppSecret被破解,则安全荡然无存。

  三、密码破解

  这种攻击主要以获取用户的密码等身份认证信息为主。可能有以下几种方式:

  1、对HTTPS连接,通过恶意代理对安全证书做替换。如果设计上太多依赖HTTPS安全性,利用HTTP发送的信息不加密的话,很容易被恶意代理截获并分析出用户的原始密码。

  2、对于简单的密码摘要信息认证方式,恶意代理可以在拦截到摘要后利用词典进行暴力破解。对于请求中有随机数的摘要,恶意代理可以模拟服务器向客户端响应一个随机数,然后对拦截到的客户端请求进行暴力破解。

  恶意代理在无线互联网上的破坏性要远大于传统互联网,而安全问题从来也不是一蹴而就的,我们需要在设计时尽量在安全、便捷、性能之间做更慎重的权衡,从多方面一起下手来保护我们的用户。

      

责任编辑:admin
免责声明:以上内容转载互联网平台或企业单位自行提供,对内容的真实性、准确性和合法性不负责,Voipchina网对此不承担任何法律责任。

】【打印繁体】【投稿】【收藏】 【推荐】【举报】【评论】 【关闭】 【返回顶部

上一篇大型恶意网络继续推动绝大多数攻击
下一篇规范化安全数据是创建风险指标的..

热门文章

图片主题

最新文章

相关文章

广告位

Copyright@2003-2009 网络通信中国(原VoIP中国) 版权所有
联系方式:503927495@qq.com
  京ICP备05067673号-1 京公网安1101111101259