如何避免用户名枚举?Secure Code Warrior
侧信道攻击是指黑客可以从软件系统的物理实现中收集信息,而不是从算法的理论弱点或软件代码的错误中收集信息。
我喜欢用一个例子来更清楚地说明这一点,就是一个做用户名枚举的方法。如果你想知道什么是用户名枚举,或者为什么它是坏的,请访问我们的网站获取视频解释,或者玩一个挑战,看看你是否能在代码中识别它。
现在,为了理解如何通过侧面渠道攻击进行用户名枚举,你需要对现代网络应用中如何处理密码(或至少应该如此)有一些了解。一个好的网络应用程序不知道你的密码,它不会把你的密码保存或储存在任何地方。那么,它怎么知道你输入的是正确的,而且是你的密码呢?嗯,你的密码是散列的。
散列函数是一种数学运算,它很容易以一种方式进行(尽管计算上有些昂贵),但很难逆转,对于好的散列算法,输出是唯一的,取决于输入。当你在一个网站上注册时,该散列值被安全地存储,而不是你的密码本身。这意味着,每次你登录时,网络应用都会对你的输入进行散列,并将散列结果与存储的散列进行比较。如果你想了解更多关于安全的密码存储,你可以在我们的平台上进行。
哈希输入需要在计算机上花费一些时间,开发人员总是试图优化他们编写的一切,以使用户有一个流畅的体验。有一件事可以加快程序的速度,那就是在不需要的时候跳过散列。例如,当用户名不存在时(因此不需要检查密码),他们可以立即响应用户。这样他们就可以跳过对密码进行哈希运算的缓慢计算。如果用户名是正确的,他们将对输入的密码进行散列,并将其与存储的散列进行比较。
在这一点上,你可能已经猜到了事情可能出错的地方。尽管在现实中哈希运算只需要几毫秒,但黑客可以利用这个额外的延迟来找出他输入的用户名是否正确,因为一个错误的用户名会有一个稍快的反应,因为没有进行哈希运算。这种类型的旁门左道攻击被称为定时攻击,它是一个很好的例子,说明不同的非功能需求是如何相互抵消的。有时代码不能同时做到快速和安全。
因此,尽管密码处理得很完美,而且显示的信息是通用的,没有提示密码或用户名是否错误,但系统仍有漏洞。解决方法很简单,总是对密码进行哈希处理,或者将发送回复的时间推迟到哈希处理所需的时间。
获得的信息可以被攻击者用来获得系统中的用户列表。这些信息可以用来攻击网络应用程序,例如,通过暴力或默认用户名/密码攻击。
侧信道攻击是指黑客可以从软件系统的物理实现中收集信息,而不是从算法的理论弱点或软件代码的错误中收集信息。
我喜欢用一个例子来更清楚地说明这一点,就是一个做用户名枚举的方法。如果你想知道什么是用户名枚举,或者为什么它是坏的,请访问我们的网站获取视频解释,或者玩一个挑战,看看你是否能在代码中识别它。
现在,为了理解如何通过侧面渠道攻击进行用户名枚举,你需要对现代网络应用中如何处理密码(或至少应该如此)有一些了解。一个好的网络应用程序不知道你的密码,它不会把你的密码保存或储存在任何地方。那么,它怎么知道你输入的是正确的,而且是你的密码呢?嗯,你的密码是散列的。
散列函数是一种数学运算,它很容易以一种方式进行(尽管计算上有些昂贵),但很难逆转,对于好的散列算法,输出是唯一的,取决于输入。当你在一个网站上注册时,该散列值被安全地存储,而不是你的密码本身。这意味着,每次你登录时,网络应用都会对你的输入进行散列,并将散列结果与存储的散列进行比较。如果你想了解更多关于安全的密码存储,你可以在我们的平台上进行。
哈希输入需要在计算机上花费一些时间,开发人员总是试图优化他们编写的一切,以使用户有一个流畅的体验。有一件事可以加快程序的速度,那就是在不需要的时候跳过散列。例如,当用户名不存在时(因此不需要检查密码),他们可以立即响应用户。这样他们就可以跳过对密码进行哈希运算的缓慢计算。如果用户名是正确的,他们将对输入的密码进行散列,并将其与存储的散列进行比较。
在这一点上,你可能已经猜到了事情可能出错的地方。尽管在现实中哈希运算只需要几毫秒,但黑客可以利用这个额外的延迟来找出他输入的用户名是否正确,因为一个错误的用户名会有一个稍快的反应,因为没有进行哈希运算。这种类型的旁门左道攻击被称为定时攻击,它是一个很好的例子,说明不同的非功能需求是如何相互抵消的。有时代码不能同时做到快速和安全。
因此,尽管密码处理得很完美,而且显示的信息是通用的,没有提示密码或用户名是否错误,但系统仍有漏洞。解决方法很简单,总是对密码进行哈希处理,或者将发送回复的时间推迟到哈希处理所需的时间。
获得的信息可以被攻击者用来获得系统中的用户列表。这些信息可以用来攻击网络应用程序,例如,通过暴力或默认用户名/密码攻击。
侧信道攻击是指黑客可以从软件系统的物理实现中收集信息,而不是从算法的理论弱点或软件代码的错误中收集信息。
我喜欢用一个例子来更清楚地说明这一点,就是一个做用户名枚举的方法。如果你想知道什么是用户名枚举,或者为什么它是坏的,请访问我们的网站获取视频解释,或者玩一个挑战,看看你是否能在代码中识别它。
现在,为了理解如何通过侧面渠道攻击进行用户名枚举,你需要对现代网络应用中如何处理密码(或至少应该如此)有一些了解。一个好的网络应用程序不知道你的密码,它不会把你的密码保存或储存在任何地方。那么,它怎么知道你输入的是正确的,而且是你的密码呢?嗯,你的密码是散列的。
散列函数是一种数学运算,它很容易以一种方式进行(尽管计算上有些昂贵),但很难逆转,对于好的散列算法,输出是唯一的,取决于输入。当你在一个网站上注册时,该散列值被安全地存储,而不是你的密码本身。这意味着,每次你登录时,网络应用都会对你的输入进行散列,并将散列结果与存储的散列进行比较。如果你想了解更多关于安全的密码存储,你可以在我们的平台上进行。
哈希输入需要在计算机上花费一些时间,开发人员总是试图优化他们编写的一切,以使用户有一个流畅的体验。有一件事可以加快程序的速度,那就是在不需要的时候跳过散列。例如,当用户名不存在时(因此不需要检查密码),他们可以立即响应用户。这样他们就可以跳过对密码进行哈希运算的缓慢计算。如果用户名是正确的,他们将对输入的密码进行散列,并将其与存储的散列进行比较。
在这一点上,你可能已经猜到了事情可能出错的地方。尽管在现实中哈希运算只需要几毫秒,但黑客可以利用这个额外的延迟来找出他输入的用户名是否正确,因为一个错误的用户名会有一个稍快的反应,因为没有进行哈希运算。这种类型的旁门左道攻击被称为定时攻击,它是一个很好的例子,说明不同的非功能需求是如何相互抵消的。有时代码不能同时做到快速和安全。
因此,尽管密码处理得很完美,而且显示的信息是通用的,没有提示密码或用户名是否错误,但系统仍有漏洞。解决方法很简单,总是对密码进行哈希处理,或者将发送回复的时间推迟到哈希处理所需的时间。
获得的信息可以被攻击者用来获得系统中的用户列表。这些信息可以用来攻击网络应用程序,例如,通过暴力或默认用户名/密码攻击。
侧信道攻击是指黑客可以从软件系统的物理实现中收集信息,而不是从算法的理论弱点或软件代码的错误中收集信息。
我喜欢用一个例子来更清楚地说明这一点,就是一个做用户名枚举的方法。如果你想知道什么是用户名枚举,或者为什么它是坏的,请访问我们的网站获取视频解释,或者玩一个挑战,看看你是否能在代码中识别它。
现在,为了理解如何通过侧面渠道攻击进行用户名枚举,你需要对现代网络应用中如何处理密码(或至少应该如此)有一些了解。一个好的网络应用程序不知道你的密码,它不会把你的密码保存或储存在任何地方。那么,它怎么知道你输入的是正确的,而且是你的密码呢?嗯,你的密码是散列的。
散列函数是一种数学运算,它很容易以一种方式进行(尽管计算上有些昂贵),但很难逆转,对于好的散列算法,输出是唯一的,取决于输入。当你在一个网站上注册时,该散列值被安全地存储,而不是你的密码本身。这意味着,每次你登录时,网络应用都会对你的输入进行散列,并将散列结果与存储的散列进行比较。如果你想了解更多关于安全的密码存储,你可以在我们的平台上进行。
哈希输入需要在计算机上花费一些时间,开发人员总是试图优化他们编写的一切,以使用户有一个流畅的体验。有一件事可以加快程序的速度,那就是在不需要的时候跳过散列。例如,当用户名不存在时(因此不需要检查密码),他们可以立即响应用户。这样他们就可以跳过对密码进行哈希运算的缓慢计算。如果用户名是正确的,他们将对输入的密码进行散列,并将其与存储的散列进行比较。
在这一点上,你可能已经猜到了事情可能出错的地方。尽管在现实中哈希运算只需要几毫秒,但黑客可以利用这个额外的延迟来找出他输入的用户名是否正确,因为一个错误的用户名会有一个稍快的反应,因为没有进行哈希运算。这种类型的旁门左道攻击被称为定时攻击,它是一个很好的例子,说明不同的非功能需求是如何相互抵消的。有时代码不能同时做到快速和安全。
因此,尽管密码处理得很完美,而且显示的信息是通用的,没有提示密码或用户名是否错误,但系统仍有漏洞。解决方法很简单,总是对密码进行哈希处理,或者将发送回复的时间推迟到哈希处理所需的时间。
获得的信息可以被攻击者用来获得系统中的用户列表。这些信息可以用来攻击网络应用程序,例如,通过暴力或默认用户名/密码攻击。
资源
安全技能基准测试:简化企业安全设计
寻找有关 "按设计确保安全 "计划成功与否的有意义的数据是众所周知的难题。首席信息安全官(CISO)在试图证明投资回报率(ROI)和安全计划活动在人员和公司层面上的商业价值时,往往会面临挑战。更不用说,企业要深入了解自己的组织是如何以当前的行业标准为基准的,更是难上加难。美国总统的《国家网络安全战略》向利益相关者提出了 "通过设计实现安全和弹性 "的挑战。让 "按设计保证安全 "计划发挥作用的关键不仅在于为开发人员提供确保代码安全的技能,还在于向监管机构保证这些技能已经到位。在本演讲中,我们将分享大量定性和定量数据,这些数据来自多个主要来源,包括从超过 25 万名开发人员那里收集的内部数据点、数据驱动的客户洞察力以及公共研究。利用这些数据点的汇总,我们旨在传达一个跨多个垂直领域的 "按设计保证安全 "计划的现状。报告详细阐述了这一领域目前未得到充分利用的原因、成功的技能提升计划对降低网络安全风险的重大影响,以及消除代码库中各类漏洞的潜力。
