如何避免用户名枚举 | Secure Code Warrior
侧信道攻击是指黑客可以从软件系统的物理实现中收集信息,而不是算法的理论弱点或软件代码中的错误。
我喜欢用一个例子来更清楚地说明这一点,那就是进行用户名枚举的方法。如果你想知道什么是用户名枚举或者为什么它不好,请访问我们的网站获取 视频解释 要么 玩一个挑战 看看你能否在代码中识别出来。
现在,为了了解如何通过侧信道攻击进行用户名枚举,您需要对现代 Web 应用程序中如何处理密码(或至少应该)有所了解。一个好的 Web 应用程序不知道你的密码,它不会在任何地方保存或存储你的密码。那么它怎么知道你输入的内容是正确的,实际上是你的密码呢?好吧,您的密码已被哈希处理。
哈希函数是一种数学运算,易于单向执行(尽管计算成本有些高),但很难逆转,对于良好的哈希算法来说,输出是唯一的,取决于输入。当您在网站上注册时,该哈希值是安全存储的,而不是您的密码本身。这意味着,每次登录时,Web 应用程序都会对您的输入进行哈希处理,并将哈希结果与存储的哈希值进行比较。如果你想了解更多 安全的密码存储,你可以在我们的平台上这样做。
在计算机上对输入进行哈希处理需要一些时间,开发人员总是尝试优化他们编写的所有内容,以使用户获得流畅的体验。加快程序运行速度的一件事是在不需要时跳过哈希运算。例如,当用户名不存在(因此无需检查密码)时,他们可以立即回复用户。这样,他们就可以跳过对密码进行哈希处理的缓慢计算。如果用户名正确,他们将对输入的密码进行哈希处理,并将其与存储的哈希值进行比较。
此时,你可能已经猜到哪里会出错。尽管实际上哈希处理只需要几毫秒,但黑客可以利用这种额外的延迟来确定他输入的用户名是否正确,因为错误的用户名会因为没有进行哈希处理而得到稍快的响应。这种侧信道攻击称为定时攻击,它是不同的非功能需求如何相互抵消的一个很好的例子。有时,代码不能同时又快速又安全。
因此,尽管密码处理得很完美,而且显示的消息是通用的,没有告知密码或用户名是否不正确,但系统仍然容易受到攻击。解决方案很简单,始终对密码进行哈希处理,或者延迟发送回复所需的哈希时间。
攻击者可以利用获得的信息来获取系统上的用户列表。这些信息可用于攻击 Web 应用程序,例如,通过暴力攻击或默认用户名/密码攻击。
用户名枚举是指黑客使用暴力攻击来获取用户名和密码信息。使用安全代码勇士学习如何避免用户名枚举。
Chercheur en sécurité applicative - Ingénieur R&D - Doctorant
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Chercheur en sécurité applicative - Ingénieur R&D - Doctorant
侧信道攻击是指黑客可以从软件系统的物理实现中收集信息,而不是算法的理论弱点或软件代码中的错误。
我喜欢用一个例子来更清楚地说明这一点,那就是进行用户名枚举的方法。如果你想知道什么是用户名枚举或者为什么它不好,请访问我们的网站获取 视频解释 要么 玩一个挑战 看看你能否在代码中识别出来。
现在,为了了解如何通过侧信道攻击进行用户名枚举,您需要对现代 Web 应用程序中如何处理密码(或至少应该)有所了解。一个好的 Web 应用程序不知道你的密码,它不会在任何地方保存或存储你的密码。那么它怎么知道你输入的内容是正确的,实际上是你的密码呢?好吧,您的密码已被哈希处理。
哈希函数是一种数学运算,易于单向执行(尽管计算成本有些高),但很难逆转,对于良好的哈希算法来说,输出是唯一的,取决于输入。当您在网站上注册时,该哈希值是安全存储的,而不是您的密码本身。这意味着,每次登录时,Web 应用程序都会对您的输入进行哈希处理,并将哈希结果与存储的哈希值进行比较。如果你想了解更多 安全的密码存储,你可以在我们的平台上这样做。
在计算机上对输入进行哈希处理需要一些时间,开发人员总是尝试优化他们编写的所有内容,以使用户获得流畅的体验。加快程序运行速度的一件事是在不需要时跳过哈希运算。例如,当用户名不存在(因此无需检查密码)时,他们可以立即回复用户。这样,他们就可以跳过对密码进行哈希处理的缓慢计算。如果用户名正确,他们将对输入的密码进行哈希处理,并将其与存储的哈希值进行比较。
此时,你可能已经猜到哪里会出错。尽管实际上哈希处理只需要几毫秒,但黑客可以利用这种额外的延迟来确定他输入的用户名是否正确,因为错误的用户名会因为没有进行哈希处理而得到稍快的响应。这种侧信道攻击称为定时攻击,它是不同的非功能需求如何相互抵消的一个很好的例子。有时,代码不能同时又快速又安全。
因此,尽管密码处理得很完美,而且显示的消息是通用的,没有告知密码或用户名是否不正确,但系统仍然容易受到攻击。解决方案很简单,始终对密码进行哈希处理,或者延迟发送回复所需的哈希时间。
攻击者可以利用获得的信息来获取系统上的用户列表。这些信息可用于攻击 Web 应用程序,例如,通过暴力攻击或默认用户名/密码攻击。
侧信道攻击是指黑客可以从软件系统的物理实现中收集信息,而不是算法的理论弱点或软件代码中的错误。
我喜欢用一个例子来更清楚地说明这一点,那就是进行用户名枚举的方法。如果你想知道什么是用户名枚举或者为什么它不好,请访问我们的网站获取 视频解释 要么 玩一个挑战 看看你能否在代码中识别出来。
现在,为了了解如何通过侧信道攻击进行用户名枚举,您需要对现代 Web 应用程序中如何处理密码(或至少应该)有所了解。一个好的 Web 应用程序不知道你的密码,它不会在任何地方保存或存储你的密码。那么它怎么知道你输入的内容是正确的,实际上是你的密码呢?好吧,您的密码已被哈希处理。
哈希函数是一种数学运算,易于单向执行(尽管计算成本有些高),但很难逆转,对于良好的哈希算法来说,输出是唯一的,取决于输入。当您在网站上注册时,该哈希值是安全存储的,而不是您的密码本身。这意味着,每次登录时,Web 应用程序都会对您的输入进行哈希处理,并将哈希结果与存储的哈希值进行比较。如果你想了解更多 安全的密码存储,你可以在我们的平台上这样做。
在计算机上对输入进行哈希处理需要一些时间,开发人员总是尝试优化他们编写的所有内容,以使用户获得流畅的体验。加快程序运行速度的一件事是在不需要时跳过哈希运算。例如,当用户名不存在(因此无需检查密码)时,他们可以立即回复用户。这样,他们就可以跳过对密码进行哈希处理的缓慢计算。如果用户名正确,他们将对输入的密码进行哈希处理,并将其与存储的哈希值进行比较。
此时,你可能已经猜到哪里会出错。尽管实际上哈希处理只需要几毫秒,但黑客可以利用这种额外的延迟来确定他输入的用户名是否正确,因为错误的用户名会因为没有进行哈希处理而得到稍快的响应。这种侧信道攻击称为定时攻击,它是不同的非功能需求如何相互抵消的一个很好的例子。有时,代码不能同时又快速又安全。
因此,尽管密码处理得很完美,而且显示的消息是通用的,没有告知密码或用户名是否不正确,但系统仍然容易受到攻击。解决方案很简单,始终对密码进行哈希处理,或者延迟发送回复所需的哈希时间。
攻击者可以利用获得的信息来获取系统上的用户列表。这些信息可用于攻击 Web 应用程序,例如,通过暴力攻击或默认用户名/密码攻击。
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Chercheur en sécurité applicative - Ingénieur R&D - Doctorant
侧信道攻击是指黑客可以从软件系统的物理实现中收集信息,而不是算法的理论弱点或软件代码中的错误。
我喜欢用一个例子来更清楚地说明这一点,那就是进行用户名枚举的方法。如果你想知道什么是用户名枚举或者为什么它不好,请访问我们的网站获取 视频解释 要么 玩一个挑战 看看你能否在代码中识别出来。
现在,为了了解如何通过侧信道攻击进行用户名枚举,您需要对现代 Web 应用程序中如何处理密码(或至少应该)有所了解。一个好的 Web 应用程序不知道你的密码,它不会在任何地方保存或存储你的密码。那么它怎么知道你输入的内容是正确的,实际上是你的密码呢?好吧,您的密码已被哈希处理。
哈希函数是一种数学运算,易于单向执行(尽管计算成本有些高),但很难逆转,对于良好的哈希算法来说,输出是唯一的,取决于输入。当您在网站上注册时,该哈希值是安全存储的,而不是您的密码本身。这意味着,每次登录时,Web 应用程序都会对您的输入进行哈希处理,并将哈希结果与存储的哈希值进行比较。如果你想了解更多 安全的密码存储,你可以在我们的平台上这样做。
在计算机上对输入进行哈希处理需要一些时间,开发人员总是尝试优化他们编写的所有内容,以使用户获得流畅的体验。加快程序运行速度的一件事是在不需要时跳过哈希运算。例如,当用户名不存在(因此无需检查密码)时,他们可以立即回复用户。这样,他们就可以跳过对密码进行哈希处理的缓慢计算。如果用户名正确,他们将对输入的密码进行哈希处理,并将其与存储的哈希值进行比较。
此时,你可能已经猜到哪里会出错。尽管实际上哈希处理只需要几毫秒,但黑客可以利用这种额外的延迟来确定他输入的用户名是否正确,因为错误的用户名会因为没有进行哈希处理而得到稍快的响应。这种侧信道攻击称为定时攻击,它是不同的非功能需求如何相互抵消的一个很好的例子。有时,代码不能同时又快速又安全。
因此,尽管密码处理得很完美,而且显示的消息是通用的,没有告知密码或用户名是否不正确,但系统仍然容易受到攻击。解决方案很简单,始终对密码进行哈希处理,或者延迟发送回复所需的哈希时间。
攻击者可以利用获得的信息来获取系统上的用户列表。这些信息可用于攻击 Web 应用程序,例如,通过暴力攻击或默认用户名/密码攻击。
Table des matières
Chercheur en sécurité applicative - Ingénieur R&D - Doctorant
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
