Insufficient Password Salt Rounds 漏洞概述 CVE ID: CVE-916 (Use of Password Hash With Insufficient Computational Effort) 描述: 默认的 bcrypt 盐轮数设置为 5,低于安全推荐的最小值。 检测方式: Kolega.dev Deep Code Scan 严重性: 中等 实际可利用性: 中等 影响范围 受影响版本: <1.3.0.12 修复版本: 3.0.13 修复方案 建议: 将默认的 至少增加到 10(OWASP 推荐),考虑使用 12 以获得更好的安全性与性能平衡。 说明: 更高的值会增加登录时间但提高安全性。 证据 使用 5 个盐轮数提供 \(2^5 \leq 32\) 次迭代,远低于 OWASP 对 bcrypt 推荐的 10 次迭代(\(2^{10} = 1024\) 次迭代)。这使得密码哈希在现代硬件下容易受到暴力攻击。 影响 更快的密码破解:在数据库泄露的情况下,攻击者可以比拥有正确盐轮数的情况下更快地破解密码哈希,可能危及所有用户账户。 代码示例