예를 들어 Google TV 또는 Apple TV에서 실행되는 응용 프로그램이 있습니다.이 프로그램은 HTTP 요청을 내 서비스에 보냅니다.HTTP 요청을 재생할 수 없게 만들기
이제 누군가가이 요청을 듣고이를 재생하면 서비스 거부 공격 (DOS) 공격을 실행할 수 있습니다.
각 요청을 고유하게 만들 수있는 방법이 없으므로 재생할 수 없습니까?
요청에 암호화 된 시간을 보내고 서버 시간과 요청이 전송 된 시간의 차이를 확인했지만 시간 차이가 너무 커서 비교할 수 없습니다.
누구에게 더 좋은 아이디어가 있습니까?
당신이 말하는 것은 MITM 공격입니다. HTTPS를 사용하면 거의 불가능할 정도로 어려워 질 것입니다. – DaveRandom
@ 우리가 사용하는 장치가 https를 지원하지 않기 때문에 다른 솔루션을 찾아야합니다. –
일반적으로 클라이언트가 사용할 수있는 일회용 키를 서버가 생성하도록 클라이언트를 클라이언트가 서버에 다시 보냅니다. 쿠키. 해당 키가 사용되면 해당 키를 제시하는 추가 요청이 거부됩니다. 이것이 어떻게 구현되는지는 아키텍처에 따라 다르지만, 본질적으로 당신이 보는 것은 쿠키 인증의 주제에 대한 변형입니다. – DaveRandom