kenkantzer.com/learnings-from… #学习
作者为初创企业做了多年的代码审计后得出的一些经验:
- 小团队更高效
- 简单比聪明更重要
- 最危险的事最显眼的安全漏洞
- 不要反序列化不可信数据
- fuze testing 真香
- 几乎没人用对 JWT
- 别用 MD5 了
作者为初创企业做了多年的代码审计后得出的一些经验:
- 小团队更高效
- 简单比聪明更重要
- 最危险的事最显眼的安全漏洞
- 不要反序列化不可信数据
- fuze testing 真香
- 几乎没人用对 JWT
- 别用 MD5 了
JWT 最广受诟病的应该就两个问题:
1. 加密方法写在 header 里,如果 verifier 忘记验证指定加密方法,可能会被恶意攻击者故意选用一个弱安全级别的方法
2. 需要额外的外部存储来记录 token 吊销的情况,防止重放攻击,而不是简单地删除 token 就行了。
1. 加密方法写在 header 里,如果 verifier 忘记验证指定加密方法,可能会被恶意攻击者故意选用一个弱安全级别的方法
2. 需要额外的外部存储来记录 token 吊销的情况,防止重放攻击,而不是简单地删除 token 就行了。
MD5 也是一个很有趣的话题,一个暴论是“你无论如何都不应该再使用 MD5”。
我们一般将哈希算法分为密码学哈希和非密码学哈希。MD5 已经被驱逐出了密码学哈希领域(至少得用 SHA-1)。而作为非密码学哈希,它的性能和 xxhash 比又太低。
在现代硬件上,MD5 甚至比 SHA-1 还慢。
我们一般将哈希算法分为密码学哈希和非密码学哈希。MD5 已经被驱逐出了密码学哈希领域(至少得用 SHA-1)。而作为非密码学哈希,它的性能和 xxhash 比又太低。
在现代硬件上,MD5 甚至比 SHA-1 还慢。
• • •
Missing some Tweet in this thread? You can try to
force a refresh
