漏洞标题
N/A
漏洞描述信息
csrf-lite 是一个用于无框架节点网站的跨站请求伪造保护库。csrf-lite 使用 `===`,一种先失败再比较字符串的方法,而不是时间常量字符串比较。这使得攻击者能够在不超过 (16*18)288 次尝试中猜测密钥,而如果攻击者没有进行时间攻击,则需要 16^18 次尝试。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
csrf-lite is a cross-site request forgery protection library for framework-less node sites. csrf-lite uses `===`, a fail first string comparison, instead of a time constant string comparison This enables an attacker to guess the secret in no more than (16*18)288 guesses, instead of the 16^18 guesses required were the timing attack not present.
CVSS信息
N/A
漏洞类别
通过时间差异性导致的信息暴露
漏洞标题
csrf-lite 安全漏洞
漏洞描述信息
csrf-lite是一个针对无框架节点网站的CSRF保护实用程序。 csrf-lite中存在安全漏洞。攻击者可利用该漏洞实施时序攻击,获取敏感信息。
CVSS信息
N/A
漏洞类别
加密问题