Are Nonces Useless?

时间:2011-10-28 作者:Adrian

这可能是一个不着边际的问题,但请听我说完-使用Nonce来防止刮刀(phpcurl刮刀等)之类的东西,难道不是有意义吗?但我的Nonce打印在文档的头部,如下所示:

/* <![CDATA[ */
var nc_ajax_getpost = {
    ...stuff...
    getpostNonce: "8a3318a44c"
};
/* ]]> */
因此,如果我正在构建一个快速刮刀,我只需从该页面获取nonce值,然后在我的帖子中使用它。。。使整个使用Nonce的练习毫无用处。。。

我错过了什么?

2 个回复
最合适的回答,由SO网友:scribu 整理而成

nonce对于每个登录的用户都是唯一的。除非你有一个登录用户的cookie,否则你无法获取其nonce。但如果你有一个用户的cookie,你已经窃取了他们的身份,可以做任何你想做的事。

Nonces旨在通过单击链接或提交表单,防止用户被诱骗去做他们不想做的事情。因此,他们自己(无意中)执行此操作,而不是攻击者。

SO网友:TCBarrett

http://en.wikipedia.org/wiki/Cryptographic_nonce

“在安全工程中,nonce是一个仅用于对加密通信进行一次签名的任意数字……它通常是一个随机的……身份验证协议,以确保旧通信不能在重播攻击中重复使用。”

其目的是停止提交重复数据。您可以创建个人的一次性唯一标识符,以便在提交数据时只能执行一次。这与浏览你的网站无关。这就是网站清理的作用。你会如何区分刮板机器人和拖网机器人(比如谷歌)?

结束
标签: security   nonce   小码农  

相关推荐

Security and .htaccess

大约一个月前,我在一个与爱好相关的托管服务器上创建了一个WordPress博客。所以,我目前还不熟悉这一点。由于我担心安全性,我做的一件事就是安装插件WP安全扫描。根据插件结果,我的网站会被检查出来,但我在结果中看到的是一个红旗:文件。wp admin中不存在htaccess/(我在那里ssh了,它不存在)好的,所以我在这个问题上做了大量的搜索,找到了太多的信息。htaccess。我在WordPress上经历了强化WordPress。org网站等,也遇到了这篇文章:http://digwp.com/201