可以使用Fiddler / TamperData重播HTTPS请求,可能是因为登录过程处理不当?一旦我注销了我的系统(https),我就可以使用重播登录了。 Simon Buchan已经提到HTTPS无法重播。 参考:https://stackoverflow.com/a/2770133/1502619
如果重播让我进入,这是否意味着我的登录不会处理重播攻击,还是我没有正确登出?
答案 0 :(得分:1)
Simon Buchan(正确地)注意到客户端无法将完全相同的加密字节发送到HTTPS服务器,并让它接受为有效; HTTPS提供的保护之一是防止那种“盲目”重播。
Fiddler& TamperData不是一回事 - 这些工具以相同的未加密的字节(例如您的用户名和密码)开头,并与服务器建立新的 HTTPS连接,然后在该新连接上再次向服务器发送HTTPS请求。
因此,它是相同HTTPS请求的重播,而不是相同原始字节的重播。
没有切实可行的方法来防止有权访问未加密数据的工具(如Fiddler)使用该信息登录您的网站。