什么是计时攻击 Spring Boot 中该怎样防御
发布时间:2022-07-29 10:38:32 所属栏目:安全 来源:互联网
导读:当用户提交用户名密码登录之后,Spring Security 需要根据用户提交的用户名去数据库中查询用户。 查到用户对象之后,再去比对从数据库中查到的用户密码和用户提交的密码之间的差异。 而上面这段代码就是 Spring Security 根据用户登录时传入的用户名去数据库
|
当用户提交用户名密码登录之后,Spring Security 需要根据用户提交的用户名去数据库中查询用户。 查到用户对象之后,再去比对从数据库中查到的用户密码和用户提交的密码之间的差异。 而上面这段代码就是 Spring Security 根据用户登录时传入的用户名去数据库中查询用户,并将查到的用户返回。方法中还有一个 authentication 参数,这个参数里边保存了用户登录时传入的用户名/密码信息。 那么这段代码有什么神奇之处呢? 这就引入了我们今天的主题--计时攻击。 计时攻击是旁路攻击的一种,在密码学中,旁道攻击又称侧信道攻击、边信道攻击(Side-channel attack)。 这种攻击方式并非利用加密算法的理论弱点,也不是暴力破解,而是从密码系统的物理实现中获取的信息。例如:时间信息、功率消耗、电磁泄露等额外的信息源,这些信息可被用于对系统的进一步破解。 旁路攻击有多种不同的分类: 缓存攻击(Cache Side-Channel Attacks),通过获取对缓存的访问权而获取缓存内的一些敏感信息,例如攻击者获取云端主机物理主机的访问权而获取存储器的访问权。 计时攻击(Timing attack),通过设备运算的用时来推断出所使用的运算操作,或者通过对比运算的时间推定数据位于哪个存储设备,或者利用通信的时间差进行数据窃取。 基于功耗监控的旁路攻击,同一设备不同的硬件电路单元的运作功耗也是不一样的,因此一个程序运行时的功耗会随着程序使用哪一种硬件电路单元而变动,据此推断出数据输出位于哪一个硬件单元,进而窃取数据。 电磁攻击(Electromagnetic attack),设备运算时会泄漏电磁辐射,经过得当分析的话可解析出这些泄漏的电磁辐射中包含的信息(比如文本、声音、图像等),这种攻击方式除了用于密码学攻击以外也被用于非密码学攻击等窃听行为,如TEMPEST 攻击。 声学密码分析(Acoustic cryptanalysis),通过捕捉设备在运算时泄漏的声学信号捉取信息(与功率分析类似)。 差别错误分析,隐密数据在程序运行发生错误并输出错误信息时被发现。 数据残留(Data remanence),可使理应被删除的敏感数据被读取出来(例如冷启动攻击)。 软件初始化错误攻击,现时较为少见,行锤攻击(Row hammer)是该类攻击方式的一个实例,在这种攻击实现中,被禁止访问的存储器位置旁边的存储器空间如果被频繁访问将会有状态保留丢失的风险。 光学方式,即隐密数据被一些视觉光学仪器(如高清晰度相机、高清晰度摄影机等设备)捕捉。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号