一般攻击场景:
在2013年,Django有一个普遍的漏洞,因为攻击者可以通过非常大的密码[see the security notice here]创建极其密集的CPU计算。我不确定在不做任何进一步检查的情况下使用PHP的password_verify()和其他密码散列方法是否仍然可行。
PHP文档说::
对algo参数使用PASSWORD_BCRYPT将导致
参数被截断为最大长度为72个字符。
但是,的代码可能说明了一些不同的东西:
然而,C code behind PHP 5.5.0's function并不直接限制传递的参数(也许在bcrypt算法内部的更深层次上?)。此外,PHP implementation不会限制参数。
问题:
password_verify() (以及同一函数集的其他函数)是否易受通过POST参数过多而导致的DoS攻击?还请考虑POST上传大小远远大于4MB的站点范围的配置情况。
https://stackoverflow.com/questions/28951359
复制相似问题