V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 2550 days ago, the information mentioned may be changed or developed.
SQL 注入、XSS、CSRF 之类的是一些老生常谈的内容了。
最近了解到一种叫做慢速攻击的东西,感觉很神奇。
想了解更多的攻击方式,丰富自己的见识,好在写代码的时候绕开这些坑。
或者说有什么安全方面的原则(如,永远不相信用户的输入),可以让自己的代码更加具有防御性呢?
 |
1
also24 May 4, 2019 via Android
这个所谓的慢速攻击,本质上还是 CC 吧
|
 |
2
mayx May 4, 2019 via Android
慢速攻击是传输层的吧?我感觉。。
|
 |
3
changwei May 4, 2019 via Android  1
边信道攻击。利用其他信道将敏感数据传递出去。
可以看看这个 https://xz.aliyun.com/t/2369 通过 css 渲染时间来获取和传递信息,通过 cpu 风扇转速产生不同频率的噪音传递信息,甚至通过键盘上的灰尘判断密码包含哪些字符,这时候灰尘也间接传递出了敏感信息,本质上都是边信道攻击的不同变种形式。 |
 |
4
KgM4gLtF0shViDH3 May 4, 2019 via iPhone
时序攻击
|
 |
6
wangkai0351 May 4, 2019
@changwei 我还见过以色列某公司听键盘声音猜 Windows 登录密码的。
|
 |
7
letitbesqzr May 4, 2019 1
最近比较感兴趣的:
https://www.freebuf.com/articles/network/124422.html 浅析 ReDoS 的原理与实践 研究了一下,java 里很多工具类内置的正则都存在这问题。 |
 |
10
junjieyuanxiling May 4, 2019 via Android
|
 |
11
shansing May 4, 2019 1
楼主列的内容感觉都是 Web 方面的,可以看《白帽子谈 Web 安全》。有说安全原则,还有一些比较奇特的攻击,像点击劫持什么的。
|
 |
12
cpdyj0 May 4, 2019
比如说,你应用逻辑本身就有问题呢,被人钻了空子,这种算不算。
|
 |
13
blless May 4, 2019 via Android
我上次看过一篇文章说因为大部分语言的字符串比较是遍历匹配,所以可以通过计算返回密码错误的时间算出密码
|
|
15
blless May 4, 2019 via Android
哦对了,还有早期的时候验证码机制刚出来的时候,不对验证码验证次数判断,可以直接暴力请求到匹配的验证码重置密码
|
 |
16
lookas2001 OP @cpdyj0 嘛,也可以说来听听的,开这个帖子的目的就是为了找可能出现的 bug 嘛
|
|
17
cpdyj0 May 4, 2019
@lookas2001 算了,那种应该产品背锅。
|
 |
19
jinliming2 May 5, 2019 via iPhone 1
@cpdyj0 换句话说,防正常用户不防攻击者
|
Select Language