حادث أمان أوكتا: استغلال قيود الطول في خوارزمية bcrypt
2025-02-05
نشأ حادث أمان أوكتا من طريقة تعامل تطبيق bcrypt مع طول المدخلات. حيث أن الحد الأقصى لطول المدخلات في خوارزمية bcrypt هو 72 حرفًا، فإن تجاوز هذا الحد يؤدي إلى اقتطاع الحروف الزائدة، مما يسمح بالدخول باستخدام أسماء مستخدمين جزئية ومفاتيح مخزنة مؤقتًا. يحلّل المقال مكتبات bcrypt في لغات البرمجة Go و Java و JavaScript و Python و Rust، ويكشف عن أن العديد منها يفتقر إلى التحقق من صحة طول المدخلات، مما يخلق ثغرات أمنية. يدعو الكاتب إلى تحسين تصميم واجهة برمجة التطبيقات، ورفض المدخلات غير الصالحة صراحةً، لمنع مثل هذه الثغرات.
التطوير
bcrypt