為了避免自己撰寫出具有安全風險的程式碼而仍不自知,就挑上這堂 從 OWASP Top 10 實現全方位防禦強化 課程。這邊筆記下 Hash 雜湊的相關議題。
課程相關資訊
[連結]:https://hiskio.com/courses/1539/lectures/146919
本篇範圍:Chapter 7
請注意:本系列文章為個人對應課程的消化吸收後,所整理出來的內容。換言之,並不一定會包含全部的課程內容,也有可能會添加其他資源來說明。
內容
1. 若 DB 真的被入侵取得資料表,雜湊可以增加破解時間
2. 系統內部不該存放明文的資訊
3. 程式碼內,不可撰寫明文的資訊,像是放在 .env
4. 雜湊與加密的差別在於,後者可以透過一把 key,然後進行解鎖。前者則是不可逆的
如何破解
透過 Brute Force,並加上字典輔助,或許可以加快破解速度。
