漏洞关键信息总结 1. 漏洞概述 漏洞名称: Login timing side-channel reveals user existence (登录时序侧信道泄露用户存在性) 安全公告 ID: GHSA-mmpq-5hcv-hf2v 漏洞类型: 时序侧信道攻击 (Timing Side-Channel Attack) / 用户枚举 (User Enumeration) 描述: 攻击者可以通过分析登录请求的响应时间差异,推断出系统中是否存在特定用户。 2. 影响范围 项目: 涉及文件: (核心修复逻辑所在) (测试文件) 3. 修复方案 该PR通过以下提交进行了修复,旨在消除响应时间的差异: 标准化登录响应时间: 修改代码以标准化登录响应的时间,防止攻击者通过时间差进行用户枚举 ( )。 无密码账户处理: 针对无密码(passwordless)账户标准化时间,并加强测试 ( )。 强制返回假结果: 在比较假哈希(dummy hash)时,强制返回假结果,防止泄露真实哈希比较的时间 ( )。 隔离比较逻辑: 将假bcrypt比较与认证决策隔离,确保认证决策不受哈希比较时间的影响 ( )。 4. POC/利用代码 截图中未包含具体的POC代码或攻击脚本,仅展示了修复后的Commit Message和代码审查记录。