1
DuckJK 2017-01-10 13:12:57 +08:00
想起来原来看 tornado 的时候一篇文章,就记得里面比较字符串的问题,还真是巧
https://www.keakon.net/2012/12/03/Tornado%E4%BD%BF%E7%94%A8%E7%BB%8F%E9%AA%8C |
2
mengzhuo 2017-01-10 13:42:19 +08:00
好有趣的方式
|
3
xiaket 2017-01-10 13:56:05 +08:00
因为好像通过统计运行时间总感觉不太靠谱, 这个运行时间对环境太敏感了, 比如网络, 内存, CPU 负载等等都会影响.
记得看过文章,这种感觉不靠谱是不靠谱的. |
4
scnace 2017-01-10 13:58:23 +08:00 via Android
感觉就是一种取巧的爆破了……不过还是学习了…
|
6
glasslion 2017-01-10 14:00:17 +08:00
这有啥意想不到的?很常见的攻击方式
|
7
KhadainJHIN 2017-01-10 14:40:15 +08:00
这 ......时间盲注?
|
9
wy315700 2017-01-10 14:53:59 +08:00
|
10
xavierskip 2017-01-10 15:48:58 +08:00
卧槽,微信里面居然都有代码高亮了,真没想到
|
11
40huo 2017-01-10 16:02:54 +08:00
这种旁道攻击现在越来越多了。。。全是脑洞,之前还有用监听隔壁房间噪音破解数据的。
|
12
greenmoon55 2017-01-10 18:37:28 +08:00
这也是密码学里一类攻击方式。
|
13
phrack 2017-01-10 18:44:39 +08:00 via Android
好吊的样子,我用这些算法都只知道找库直接用的,原理都不清楚。
|
14
crownprince 2017-01-10 18:47:15 +08:00 via Android
攻击思路是很踏实的,可以理解为一种基于时间的盲”注”,但个人认为,基于时间的盲注,在 sql 注入的应用中,因为执行的注入成功时,使用的 sql 语句,所需要的时间更长(长的很明显),所以备受推崇; 但如果只是在后台执行了字符串判断,而且用了位运算,是否会让这种注入方式的时间差很小,很易受到影响?
|
15
txlty 2017-01-10 19:08:17 +08:00
|
16
qgy18 2017-01-10 20:09:53 +08:00 2
http://php.net/manual/zh/function.hash-equals.php
php 5.6 还专门增加了一个方法: hash_equals 比较两个字符串,无论它们是否相等,本函数的时间消耗是恒定的。 本函数可以用在需要防止时序攻击的字符串比较场景中, 例如,可以用在比较 crypt() 密码哈希值的场景。 |
17
panlilu 2017-01-10 21:23:04 +08:00
感觉好可怕。。服务器性能太好也危险啊 2333
|
18
owt5008137 2017-01-10 21:24:26 +08:00 via Android
这个思路是蛮可以的
|
19
drackzy 2017-01-10 21:32:25 +08:00
|
20
SoloCompany 2017-01-11 01:15:21 +08:00
@xavierskip 你从哪看出来样式和微信有任何关系的?
难道这不应该是由 hexo 直接导出来的 html 吗? https://www.tanglei.name/blog/rsa-and-timing-attack.html |
21
des 2017-01-11 08:08:07 +08:00 via Android
想到了另外一个侧信道攻击的案例,那个真的是劳动大的飞起。
文章找不到了,内容大概是一种劫持任意 tcp 的方法。 |
22
Moming 2017-01-11 08:52:31 +08:00
问题是书里都有讲这个的……大家难道不是早就知道了吗?
所以才要让大家用公认的那些库,不要自己随便瞎实现,更不要觉得自己牛逼去造一个什么加密算法…… |
23
jimzhong 2017-01-11 09:27:34 +08:00
Timing Attack 很早就提出了
|
24
x00m3i 2017-01-11 10:00:40 +08:00
不是什么新闻
|
25
jininij 2017-01-11 10:34:06 +08:00 via Android
|
26
Chrisplus 2017-01-11 10:35:49 +08:00
? Timing attack 也不是什么新闻,涉及到核心业务逻辑的加解密签名验证使用现成库的方法是最稳妥的方式,已经被考虑到了
|
27
xavierskip 2017-01-11 12:36:03 +08:00
@SoloCompany 对不起,我不知道微信公众号是怎么发的,也没见过他们的编辑器。
|
28
hjc4869 2017-01-11 17:59:21 +08:00 via iPhone
没什么可怕的, AES 也能被侧信道攻击。
|