PHP代码审计----5、密码散列安全

已于 2022-06-01 14:21:43 修改
阅读量232 收藏
点赞数
分类专栏: # PHP代码审计 代码审计 文章标签: PHP密码散列安全
于 2021-07-06 10:27:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sycamorelg/article/details/118514816
版权

文章目录

在PHP中,常见的密码问题大概有以下三种:
1、密码明文存储
2、密码弱加密
3、密码存储在攻击者可以访问的文件
例如:保存密码在 txt、ini、conf、inc、xml 等文件中,或者直接写在 HTML 注释中

在代码中寻找存在密码的相关文件或内容进行查看,

1、密码散列化

当设计一个需要接受用户密码的应用时, 对密码进行散列是最基本的,也是必需的安全考虑。 如果不对密码进行散列处理,那么一旦应用的数据库受到攻击, 那么用户的密码将被窃取。 同时,窃取者也可以使用用户账号和密码去尝试其他的应用, 如果用户没有为每个应用单独设置密码,那么将面临风险。

通过对密码进行散列处理,然后再保存到数据库中,这样就使得攻击者无法直接获取原始密码,同时还可以保证你的应用可以对原始密码进行相同的散列处理, 然后比对散列结果。

需要着重提醒的是,密码散列只能保护密码不会被从数据库中直接窃取,但是无法保证注入到应用中的恶意代码拦截到原始密码。

2、md5() 和 sha1()问题

MD5,SHA1以及SHA256这样的散列算法是面向快速、高效进行散列处理而设计的。随着技术进步和计算机硬件的提升,攻击者可以使用“暴力”方式来寻找散列码所对应的原始数据。

因为现代化计算机可以快速的“反转”上述散列算法的散列值,所以很多安全专家都强烈建议不要在密码散列中使用这些散列算法。

3、如何对密码进行散列处理?

当进行密码散列处理的时候,有两个必须考虑的因素:计算量以及“盐”。散列算法的计算量越大,暴力破解所需的时间就越长。

PHP 5.5 提供了一个原生密码散列API,它提供一种安全的方式来完成密码散列和验证。 PHP 5.3.7 及后续版本中都提供了一个纯PHP的兼容库。

PHP5.3及后续版本中,还可以使用crypt()函数,它支持多种散列算法。针对每种受支持的散列算法,PHP 都提供了对应的原生实现,所以在使用此函数的时候,你需要保证所选的散列算法是你的系统所能够支持的。

当对密码进行散列处理的时候,建议采用Blowfish算法,这是密码散列 API 的默认算法。相比MD5或者SHA1,这个算法提供了更高的计算量,同时还有具有良好的伸缩性。

如果使用 crypt() 函数来进行密码验证,那么你需要选择一种耗时恒定的字符串比较算法来避免时序攻击。 (时序攻击:字符串比较所消耗的时间恒定,不随输入数据的多少变化而变化) PHP 中的 == 和 === 操作符和 strcmp() 函数都不是耗时恒定的字符串比较, 但是 password_verify() 可以完成这项工作。

4、“盐”是什么?

加解密领域中的“盐”是指在进行散列处理的过程中加入的一些数据,用来避免从已计算的散列值表 (被称作“彩虹表”中对比输出数据从而获取明文密码的风险。

简单而言,“盐”就是为了提高散列值被破解的难度 而加入的少量数据。 现在有很多在线服务都能够提供 计算后的散列值以及其对应的原始输入的清单,并且数据量极其庞大。 通过加“盐”就可以避免直接从清单中查找到对应明文的风险。

如果不提供“盐”,password_hash() 函数会随机生成“盐”。 非常简单,行之有效。

5、如何保存“盐”?

当使用 password_hash() 或者 crypt() 函数时, “盐”会被作为生成的散列值的一部分返回。 你可以直接把完整的返回值存储到数据库中, 因为这个返回值中已经包含了足够的信息, 可以直接用在 password_verify()crypt() 函数来进行密码验证。

下图展示了 crypt() 或 password_hash() 函数返回值的结构。 如你所见,算法的信息以及“盐”都已经包含在返回值中, 在后续的密码验证中将会用到这些信息。
在这里插入图片描述

参考链接:https://www.php.net/manual/zh/faq.passwords.php

李沉肩
关注
专栏目录
php密码强中判断
wgchen
04-08 443
php密码强中判断,php密码验证规则 密码种类 1.小写字母 2.大写字母 3.数字 4.特殊符号 1 中 2 /强 3 或 4 长度 6~16个字符,区分大小写 //1.长度判断 $pwd_len = strlen($password); if ($pwd_len > 16 || $pwd_len < 6) { echo "<script>alert('密码长度应为6~16个字符');history.back();</script&g
【网络安全 | PHP代码审计】熊海cms
最新发布
等风来
09-17 615
可以看到,GET传参r参数,判断参数 $file 是否为空,如果为空,默认为 ‘index’,否则将 $file 的值赋给 $action,然后进行包含操作。所以可以实现目录穿越、文件包含。
密码散列
Y673582465的专栏
06-01 432
Qt给出了一些常用加密算法,本文以Md5为例。main.cpp#include <QCoreApplication>#include <QCryptographicHash> #include <QDebug>void encrypt() { QByteArray byte_array; byte_array.append("password"); QByteArray ha
密码散列函数
sinat_30552885的博客
06-21 1199
import java.io.UnsupportedEncodingException; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; public class HashTool { /** * 给密码散列函数的输入值加一些额外的数据,这些数据称之为盐 ...
php密码,如何比较php中的散列密码
weixin_39522927的博客
03-18 77
我有一个通过laravel创建的数据库模式,因此用户表中的密码是用bcrypt()函数,如何将其与内置php方法进行比较。我有完整的方法。我希望你能明白public function count_number_of_user_with($pin, $password){$hashed_password = password_hash($password, PASSWORD_DEFAULT);// ...
密码散列算法
zhyke
08-29 4239
密码散列算法函数password_xxxx 下面总结就是:bcrypt很安全,比md5和sha1安全,但是有速度的代价. Modern  PHP原文 对于密码的生成和校验我们可以用PHP自带的一个工具进行password_ password_hash(string 需加密的参数 ,int  $algo(使用的算法)  [,array  $options]  )  创建密码散列(has...
BugkuCTF-代码审计
Alita_lxz的博客
10-30 321
BugkuCTF-WEB-第1题到第16题
架构面试-场景问题-上传数据的安全性怎么控制
program哲学
07-07 507
本文介绍了一道架构师场景题:如何控制上传数据安全性的多种策略(附有详细说明)
php中hash比较缺陷
swag000
07-14 515
php中hash比较缺陷 文章目录php中hash比较缺陷php中处理hash时的缺陷强类型比较Magic Hasheshash以0e开头MD5MD4SHA1hash转换前后相等(等于0)MD5MD4SHA1与hash缺陷无关的数组绕过方法关于MD5强碰撞问题总结部分`md5`强比较相等字符 哈希算法(Hash Algorithm)又称散列算法、散列函数、哈希函数,哈希算法主要有MD4、MD5、SHA php中处理hash时的缺陷 我们比较 hash字符串的时候,常常用到 等于( == )、不等于(
等保2.0测评--应用系统
weixin_54591045的博客
07-24 1091
密码传输中,通常会将密码使用MD5算法进行摘要计算后再传输。然而,MD5算法存在一些安全问题。首先,虽然MD5算法是单向的,无法将摘要值还原到原始数据。这意味着即使传输被截获,攻击者也无法直接获取密码。但是,由于MD5的摘要值是固定长度的,攻击者可以进行穷举搜索,通过尝试大量的可能性与预先计算的MD5值进行对比,找到相应的密码。此外,MD5算法已经被发现存在碰撞漏洞,即两个不同的数据可以生成相同的MD5摘要值。通过这个漏洞,攻击者可以找到与目标密码相同的MD5摘要值,绕过密码验证。
QCryptographicHash 密码散列
penghuilater的博客
01-15 818
散列表: 散列表(Hash table,也叫哈希表),是根据键(Key)而直接访问在内存存储位置的数据结构。也就是说,它通过计算一个关于键值的函数,将所需查询的数据映射到表中一个位置来访问记录,这加快了查找速度。这个映射函数称做散列函数,存放记录的数组称做散列表。 一个通俗的例子是,为了查找电话簿中某人的号码,可以创建一个按照人名首字母顺序排列的表(即建立人名{\displayst
密码学一:哈希函数 散列函数是什么 SHA-256原理 哈希碰撞
tenc1239的博客
10-15 3317
需要注意的是,随着计算能力的增强,一些早期的散列函数已经不再被视为安全,因此在选择散列函数时要谨慎,并考虑使用最新的、被广泛认可为安全的算法。虽然SHA-256生成的散列值是256位,但它在内部使用更大的数据块进行处理,这是因为SHA-256算法的设计要求。因此,SHA-256之所以要求输入数据的大小是512位的倍数,是因为它是基于512位数据块的处理算法,而最终的输出是256位。理论上,输入数据可以是无穷大的,但在实际应用中,这种情况是不可能的,因为计算机的内存和处理能力是有限的。
密码散列函数_密码散列的风险和挑战
culi4814的博客
08-17 1529
密码散列函数In a past article, password hashing was discussed as a way to securely store user credentials in an application. Security is always a very controversial topic, much alike politics and religion,...
php强中密码,PHP两种方法生成强密码
weixin_39719476的博客
03-25 298
原文:http://www.nowamagic.net/librarys/veda/detail/1210效果演示第一种生成方式:o6rkNmI0f第二种生成方式:745IFsXt?PHP代码第一种生成方式$password_length = 9;function make_seed() {list($usec, $sec) = explode(' ', microtime());return (...
企业如何告别密码
weixin_34357267的博客
06-06 152
破解密码是获取Active Directory中用户帐户权限的最简单方法。多年来,***一直能够轻松地破解Microsoft Active Directory用户的密码。 大多数密码破解工具使用相同的逻辑作为获取密码的基础。首先,***者必须获取密码哈希。密码 哈希是一种数学算法,用于将密码转换为字母数字字符串,而字母数字字符串不能恢复为密码。此哈希是由操作系统生成的。哈希存储在Active Di...
PHP判断密码级别
weixin_30877181的博客
06-11 489
1 <div class="form-group"> 2 <i class="icons icon-pwd2"></i> 3 <input type="text" class="form-control" name="newpassword" placeholder="请输入新密码" id="newpassword" /> ...
PHP代码安全PHP口令、加密函数、绕过函数】/CTF代码审计
洞若观火
10-31 1730
1、判等类型 1.1、”==”与”===”比较漏洞/switch 如果你认为“==”和"==="最大的区别在于,“==”是判断数值是否相等,“===”则是判断数值和类型是否相等,那就错了,这并没有说到最核心的一个关键点,要知道“==”最可怕的一点是,如果类型不同的进行比较,其会将类型转换成相同的再进行比较 &lt;?php   var_dump("admin" ==0); var_dump("1...
php top100 口令,密码口令TOP100&名字TOP500
weixin_39552768的博客
03-26 2029
以下是在 12306 泄露的密码中,使用次数最多的密码排行,大家在修改密码时候,尽量避免使用类似的规则。密码中包含有 123456 数字的,出现 3236 次密码中包含有 123 数字的,出现 11213 次密码中包含有 520 数字的,出现 4549 次密码中包含有 1314 数字的,出现 3113 次密码中包含有 aini 的,出现 877 次密码 出现次数----------...
PHP-Redis中文手册全面介绍Redis缓存技术
5. PHP-Redis客户端扩展安装:在PHP中使用Redis之前,需要安装PHP-Redis扩展。可以通过PECL安装或者使用包管理器,如apt-get或yum,进行安装。安装完成后需要在php.ini配置文件中启用该扩展。 6. 连接Redis服务器:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李沉肩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值