计时攻击在Spring Boot中该如何防御?

最新推荐文章于 2023-11-08 10:29:10 发布
最新推荐文章于 2023-11-08 10:29:10 发布
阅读量452 收藏
点赞数
分类专栏: 微服务架构 spring boot 编程语言 文章标签: 数据库 spring spring boot java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48182198/article/details/108381902
版权
本文探讨了Spring Security如何防止计时攻击。在用户登录时,Spring Security通过执行特定步骤确保无论用户是否存在,密码校验耗时保持一致,从而避免攻击者通过比较时间差推测用户是否存在。
摘要由CSDN通过智能技术生成

很多人吐槽 Spring Security 比 Shiro 重量级,这个重量级不是凭空来的,重量有重量的好处,就是它提供了更为强大的防护功能。

比如我最近看到的一段代码:

protected final UserDetails retrieveUser(String username,
  UsernamePasswordAuthenticationToken authentication)
  throws AuthenticationException {
 prepareTimingAttackProtection();
 try {
  UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
  if (loadedUser == null) {
   throw new InternalAuthenticationServiceException(
     "UserDetailsService returned null, which is an interface contract violation");
  }
  return loadedUser;
 }
 catch (UsernameNotFoundException ex) {
  mitigateAgainstTimingAttack(authentication);
  throw ex;
 }
 catch (InternalAuthenticationServiceException ex) {
  throw ex;
 }
 catch (Exception ex) {
  throw new InternalAuthenticationServiceException(ex.getMessage(), ex);
 }
}

这段代码位于 DaoAuthenticationProvider 类中,为了方便大家理解,我来简单说下这段代码的上下文环境。

当用户提交用户名密码登录之后,Spring Security 需要根据用户提交的用户名去数据库中查询用户,这块如果大家不熟悉,可以参考松哥之前的文章:

  1. Spring Security 如何将用户数据存入数据库?

最低0.47元/天 解锁文章
Java全能架构师
关注
专栏目录
java计时攻击是什么
九师兄
08-20 496
假设在验证密码 “aassword” 时,首字母 “a” 的验证时间明显较长,而在验证密码 “bassword” 时,首字母 “b” 的验证时间较短。请注意,尽管这些方法可以增加抵御计时攻击的能力,但计时攻击是一种复杂而受环境影响的攻击方式,可能受到其他因素的影响,如系统负载、噪声等。例如,如果用户密码是 “password”,攻击者可以尝试不同的密码组合,例如 “aassword”、“bassword”、“cassword” 等,然后观察每个字符的验证时间。这些哈希函数的设计目标之一就是抵御计时攻击
Spring Boot的启动流程
流楚丶格念的博客
08-24 2万+
- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- 创建springbootApplication对象 -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- - 1. 创建springbootApplication对象springboot容器初始化操作 2. 获取当前应用的启动类型。2.1 :通过判断当前classpath是否加载servlet类,返回servlet web启动方式。
什么是计时攻击Spring Boot 中该如何防御
江南一点雨的专栏
09-02 4868
松哥最近在研究 Spring Security 源码,发现了很多好玩的代码,抽空写几篇文章和小伙伴们分享一下。 很多人吐槽 Spring Security 比 Shiro 重量级,这个重量级不是凭空来的,重量有重量的好处,就是它提供了更为强大的防护功能。 比如松哥最近看到的一段代码: protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication)
计时攻击
dazhi_100的专栏
11-19 3558
计时攻击 属于旁路攻击的一种, 所谓旁路攻击就是通过对系统的物理学分析和实现方式分析, 而不是密码学分析或暴力破解, 来尝试破解密码学系统的行为. 密码学系统的电力消耗, 电磁波泄露, 时间差等信息都有可能提供对破解系统有帮助的信息. 而计时攻击就是利用时间差来对计算机进行攻击, 那么它的原理是什么? 我们拿 Rails 中的一段 代码进行分析: # constant-time compa
网络安全计时攻击
最新发布
qq_44726330的博客
11-08 299
计时攻击是边信道攻击(又叫侧信道攻击)的一种。
黑客技术:计时攻击 TIMING ATTACKS
CG国斌的博客
08-03 9029
相信刚看到这段源码的人会感觉挺奇怪的,这个函数的功能是比较两个字符串是否相等,如果要判断两个字符串是否相等,正常人的写法应该是下面这个样子的(来自JDK8 的 `String.equals()`-有删减):
Spring Boot 中该如何防御计时攻击
09-07
主要介绍了Spring Boot 中该如何防御计时攻击,帮助大家更好的使用spring boot框架,感兴趣的朋友可以了解下
Spring boot——Actuator 详解
热门推荐
weixin_45985053的博客
07-19 3万+
SpringBoot提供了所谓的endpoints(下文翻译为端点)给外部来与应用程序进行访问和交互。打比方来说,/health端点提供了关于应用健康情况的一些基础信息。metrics端点提供了一些有用的应用程序指标(JVM内存使用、系统CPU使用等)。这些Actuator模块本来就有的端点我们称之为原生端点。应用配置类获取应用程序中加载的应用配置、环境变量、自动化配置报告等与SpringBoot应用密切相关的配置类信息。度量指标类操作控制类提供了对应用的关闭等操作类功能。...
2020-10-22 计时攻击 TIMING ATTACKS
weixin_45594127的博客
10-21 445
来源 https://coolshell.cn/articles/21003.html example boolean safeEqual(String a, String b) { if (a.length() != b.length()) { return false; } int equal = 0; for (int i = 0; i < a.length(); i++) { equal |= a.charAt(i) ^ b.charAt(i
计时攻击 测试程序
stringKai的博客
07-06 456
https://coolshell.cn/articles/21003.html
safeEqual & 计时攻击
Go的全部
10-13 1206
防止计时攻击 计时攻击是边信道攻击(或称"侧信道攻击", Side Channel Attack, 简称SCA) 的一种, 边信道攻击是一种针对软件或硬件设计缺陷,走“歪门邪道”的一种攻击方式。 这种攻击方式是通过功耗、时序、电磁泄漏等方式达到破解目的。 在很多物理隔绝的环境中,往往也能出奇制胜,这类新型攻击的有效性远高于传统的密码分析的数学方法 package main import ( "fmt" "time" ) //时间复杂度恒定,均匀 func safeEqual(a, b string)
密码侧信道分析实验-计时攻击
qq_52398998的博客
03-04 1609
密码侧信道分析—计时攻击模拟实验
Spring Security 是如何防御计时攻击的?
m0_69860228的博客
05-19 592
很多人吐槽 Spring Security 比 Shiro 重量级,这个重量级不是凭空来的,重量有重量的好处,就是它提供了更为强大的防护功能。 比如松哥最近看到的一段代码: protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException { prepareTimingAttac
用 Python 告诉你什么是计时攻击
somenzz的博客
10-27 1146
用户密码登陆是一个系统常见的鉴权方法,如果处理不当就会隐藏计时攻击漏洞。本文用 Python 告诉你什么是计时攻击,如何进行计时攻击,以及怎么避免。什么是计时攻击比如说你验证密码时是按照字...
来自计时攻击的一课(或者,不要使用 MessageDigest.isEquals )
weixin_34387284的博客
06-01 591
仅中文 | 中英文对照 | 仅英文 | 打印此文章对于某些打算写一个安全的密码系统的人的角度来说,计时攻击相当可怕。它工作原理是依赖于程序员的最佳本能—不要做多余的工作,而这给攻击者得到一个统计101教科书(而这能很好的得到您应用程序的核心)。 这东西是怎么工作的呢? 简言之,一个计时攻击使用一个统计学的分析关于您的应用程序使用多长时间去做某些事情,这样...
史上最简单的Spring Security教程(二十六):DaoAuthenticationProvider详解
银河架构师的博客
08-28 1万+
之前看过很多个版本的Spring Security中获取用户信息并进行密码校验,有在相关的Filter中获取的,也有在默认的DaoAuthenticationProvider中判断Authentication类型进行判断以后直接获取的。 不过,这些方式都不太“正宗”,Spring Security有自己的一套流程。至于此流程的详细信息讲解,先不急,本篇文章来认识一下其中比较重要的一环:获取用户信息并进行密码验证,即DaoAuthenticationProvider。 Auth...
springSecurity 中不能抛出异常UserNameNotFoundException 解析
weixin_34365635的博客
01-19 1696
通过查看源码可得知: 1. 前言 抽象类中AbstractUserDetailsAuthenticationProvider 接口抛出异常AuthenticationException 下面源码注释这么描述 * * @throws AuthenticationException if the credentials c...
Spring Security认证流程分析(6)
weixin_43831002的博客
08-04 1621
作为 Spring Security 过滤器链中的一环,AbstractAuthenticationProcessingFilter可以用来处理任何提交给它的身份认证,图3-3描述了 AbstractAuthenticationProcessingFilter的工作流程:图 3-3图中显示的流程是一个通用的架构。...
spring boot计时
08-22
通过以上步骤,你可以在Spring Boot中使用计时器来测量代码块的执行时间,并输出任务的详细信息。这个功能可以帮助你更好地了解代码的性能和优化的方向。<span class="em">1</span><span class="em">2</span><span ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值