Tags populaires:
Virtualisation sécurité DNS vérification formelle analyse d'atteignabilité erreurs du compilateur conflit de macro extension web framework de développement Graphiques bitmap incohérences d'API Tous les tags

Incident de sécurité Okta : Exploitation de la limitation de longueur de Bcrypt

2025-02-05
Incident de sécurité Okta : Exploitation de la limitation de longueur de Bcrypt

L'incident de sécurité Okta est né de la manière dont son implémentation de Bcrypt gérait la longueur des données d'entrée. La limite de 72 caractères de Bcrypt a entraîné un troncage, permettant l'authentification avec seulement des noms d'utilisateur partiels et des clés mises en cache. L'article analyse les bibliothèques Bcrypt dans les langages Go, Java, JavaScript, Python et Rust, révélant que beaucoup d'entre elles ne valident pas la longueur des données d'entrée, ce qui crée des risques de sécurité. L'auteur préconise une amélioration de la conception de l'API, en rejetant explicitement les entrées invalides afin d'éviter de telles vulnérabilités.

Lire plus
(n0rdy.foo)
Développement conception d'API