什么是计时攻击?Spring Security 中该如何防御?

最新推荐文章于 2023-11-08 10:29:10 发布
最新推荐文章于 2023-11-08 10:29:10 发布
阅读量1.2k 收藏 4
点赞数 3
分类专栏: spring 文章标签: 服务器 运维 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq3164069700/article/details/121872535
版权

很多人吐槽 Spring Security 比 Shiro 重量级,这个重量级不是凭空来的,重量有重量的好处,就是它提供了更为强大的防护功能。

比如最近看到的一段代码:

这段代码位于 DaoAuthenticationProvider 类中,为了方便大家理解,我来简单说下这段代码的上下文环境。

当用户提交用户名密码登录之后,Spring Security 需要根据用户提交的用户名去数据库中查询用户。

查到用户对象之后,再去比对从数据库中查到的用户密码和用户提交的密码之间的差异。

而上面这段代码就是 Spring Security 根据用户登录时传入的用户名去数据库中查询用户,并将查到的用户返回。方法中还有一个 authentication 参数,这个参数里边保存了用户登录时传入的用户名/密码信息。

那么这段代码有什么神奇之处呢?

我们来一行一行分析。

源码梳理

1

首先方法一进来调用了 prepareTimingAttackProtection 方法,从方法名字上可以看出,这个是为计时攻击的防御做准备,那么什么又是计时攻击呢?别急,一会来解释。我们先来吧流程走完。prepareTimingAttackProtection 方法的执行很简单,如下:

该方法就是将常量 USER_NOT_FOUND_PASSWORD 使用 passwordEncoder 编码之后(如果不了解 passwordEncoder,将编码结果赋值给 userNotFoundEncodedPassword 变量。

2

最低0.47元/天 解锁文章
java小霜
关注
专栏目录
【java】计时攻击是什么
九师兄
08-20 472
假设在验证密码 “aassword” 时,首字母 “a” 的验证时间明显较长,而在验证密码 “bassword” 时,首字母 “b” 的验证时间较短。请注意,尽管这些方法可以增加抵御计时攻击的能力,但计时攻击是一种复杂而受环境影响的攻击方式,可能受到其他因素的影响,如系统负载、噪声等。例如,如果用户密码是 “password”,攻击者可以尝试不同的密码组合,例如 “aassword”、“bassword”、“cassword” 等,然后观察每个字符的验证时间。这些哈希函数的设计目标之一就是抵御计时攻击
什么是计时攻击Spring Boot 中该如何防御
江南一点雨的专栏
09-02 4858
松哥最近在研究 Spring Security 源码,发现了很多好玩的代码,抽空写几篇文章和小伙伴们分享一下。 很多人吐槽 Spring Security 比 Shiro 重量级,这个重量级不是凭空来的,重量有重量的好处,就是它提供了更为强大的防护功能。 比如松哥最近看到的一段代码: protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication)
计时攻击
dazhi_100的专栏
11-19 3527
计时攻击 属于旁路攻击的一种, 所谓旁路攻击就是通过对系统的物理学分析和实现方式分析, 而不是密码学分析或暴力破解, 来尝试破解密码学系统的行为. 密码学系统的电力消耗, 电磁波泄露, 时间差等信息都有可能提供对破解系统有帮助的信息. 而计时攻击就是利用时间差来对计算机进行攻击, 那么它的原理是什么? 我们拿 Rails 中的一段 代码进行分析: # constant-time compa
网络安全之计时攻击
最新发布
qq_44726330的博客
11-08 276
计时攻击是边信道攻击(又叫侧信道攻击)的一种。
黑客技术:计时攻击 TIMING ATTACKS
CG国斌的博客
08-03 8943
相信刚看到这段源码的人会感觉挺奇怪的,这个函数的功能是比较两个字符串是否相等,如果要判断两个字符串是否相等,正常人的写法应该是下面这个样子的(来自JDK8 的 `String.equals()`-有删减):
计时攻击Spring Boot中该如何防御?
Java圈全能架构师的博客
09-03 438
很多人吐槽 Spring Security 比 Shiro 重量级,这个重量级不是凭空来的,重量有重量的好处,就是它提供了更为强大的防护功能。 比如我最近看到的一段代码: protectedfinalUserDetailsretrieveUser(Stringusername, UsernamePasswordAuthenticationTokenauthentication) throwsAuthenticationException{ prepareTimingAttack...
使用Spring Security保护Java商城秒杀系统的安全性
## 1.1 什么是Spring Security Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架,用于保护基于Spring的应用程序。它提供了全面的安全性解决方案,涵盖了身份认证、授权、攻击防护以及其他安全...
最后一次考试spring
m0_63636270的博客
03-03 686
考虑下面的 Spring Security 配置 protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .mvcMatchers("/accounts/*").hasRole("USER") .mvcMatchers("/accounts/editAccount.htm").hasRole("ADMIN"); } or protected void configure(HttpSecu.
Spring Boot 中该如何防御计时攻击
09-07
主要介绍了Spring Boot 中该如何防御计时攻击,帮助大家更好的使用spring boot框架,感兴趣的朋友可以了解下
2020-10-22 计时攻击 TIMING ATTACKS
weixin_45594127的博客
10-21 420
来源 https://coolshell.cn/articles/21003.html example boolean safeEqual(String a, String b) { if (a.length() != b.length()) { return false; } int equal = 0; for (int i = 0; i < a.length(); i++) { equal |= a.charAt(i) ^ b.charAt(i
计时攻击 测试程序
stringKai的博客
07-06 441
https://coolshell.cn/articles/21003.html
safeEqual & 计时攻击
Go的全部
10-13 1186
防止计时攻击 计时攻击是边信道攻击(或称"侧信道攻击", Side Channel Attack, 简称SCA) 的一种, 边信道攻击是一种针对软件或硬件设计缺陷,走“歪门邪道”的一种攻击方式。 这种攻击方式是通过功耗、时序、电磁泄漏等方式达到破解目的。 在很多物理隔绝的环境中,往往也能出奇制胜,这类新型攻击的有效性远高于传统的密码分析的数学方法 package main import ( "fmt" "time" ) //时间复杂度恒定,均匀 func safeEqual(a, b string)
密码侧信道分析实验-计时攻击
qq_52398998的博客
03-04 1521
密码侧信道分析—计时攻击模拟实验
Spring Security 是如何防御计时攻击的?
m0_69860228的博客
05-19 571
很多人吐槽 Spring Security 比 Shiro 重量级,这个重量级不是凭空来的,重量有重量的好处,就是它提供了更为强大的防护功能。 比如松哥最近看到的一段代码: protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException { prepareTimingAttac
用 Python 告诉你什么是计时攻击
somenzz的博客
10-27 1125
用户密码登陆是一个系统常见的鉴权方法,如果处理不当就会隐藏计时攻击漏洞。本文用 Python 告诉你什么是计时攻击,如何进行计时攻击,以及怎么避免。什么是计时攻击比如说你验证密码时是按照字...
来自计时攻击的一课(或者,不要使用 MessageDigest.isEquals )
weixin_34387284的博客
06-01 578
仅中文 | 中英文对照 | 仅英文 | 打印此文章对于某些打算写一个安全的密码系统的人的角度来说,计时攻击相当可怕。它工作原理是依赖于程序员的最佳本能—不要做多余的工作,而这给攻击者得到一个统计101教科书(而这能很好的得到您应用程序的核心)。 这东西是怎么工作的呢? 简言之,一个计时攻击使用一个统计学的分析关于您的应用程序使用多长时间去做某些事情,这样...
史上最简单的Spring Security教程(二十六):DaoAuthenticationProvider详解
热门推荐
银河架构师的博客
08-28 1万+
之前看过很多个版本的Spring Security中获取用户信息并进行密码校验,有在相关的Filter中获取的,也有在默认的DaoAuthenticationProvider中判断Authentication类型进行判断以后直接获取的。 不过,这些方式都不太“正宗”,Spring Security有自己的一套流程。至于此流程的详细信息讲解,先不急,本篇文章来认识一下其中比较重要的一环:获取用户信息并进行密码验证,即DaoAuthenticationProvider。 Auth...
Spring StopWatch计时器使用详解与代码示例
Spring计时器StopWatch是Spring框架中一个实用的工具类,位于`org.springframework.util`包下,主要用于在开发过程中精确测量代码执行的时间,特别适合于那些需要同步单线程执行的代码块。StopWatch的主要作用在于...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值