漏洞概述 该漏洞涉及在内部登录过程中防止 CWE-208 的问题。CWE-208 是一种与响应时间相关的漏洞,可能导致信息泄露或拒绝服务攻击。 影响范围 后端模块: 和 具体功能:用户密码验证和内部登录流程 修复方案 1. - 在 结构体中添加了 字段,用于存储 bcrypt 生成的哈希值。 - 修改了 方法,确保在设置密码时使用 bcrypt 生成哈希。 - 修改了 方法,增加了防止 CWE-208 的逻辑: - 如果密码为空,直接返回 。 - 使用 进行密码匹配,避免直接比较明文密码。 2. - 在 方法中,增加了防止 CWE-208 的逻辑: - 使用 进行密码验证,而不是直接比较明文密码。 POC代码/利用代码