We read every piece of feedback, and take your input very seriously.
To see all available qualifiers, see our documentation.
源码中密码校验处使用 != 符号,而不是hmac.Equal,这可能导致产生计时攻击漏洞,从而爆破密码。 建议使用 hmac.Equal 比对密码。
hmac.Equal
https://github.com/1Panel-dev/1Panel/blob/dev/backend/app/service/auth.go#L81C5-L81C26
该产品的所有使用者。
Summary
源码中密码校验处使用 != 符号,而不是
hmac.Equal
,这可能导致产生计时攻击漏洞,从而爆破密码。建议使用
hmac.Equal
比对密码。Details
https://github.com/1Panel-dev/1Panel/blob/dev/backend/app/service/auth.go#L81C5-L81C26
PoC
Impact
该产品的所有使用者。