Un petit retour d'expérience de Sebsauvage sur la sécurité de son logiciel, pastebin. Un chercheur en sécurité y a trouvé une faille.

Il faut un token pour pouvoir supprimer le pastebin. Le token est une chaîne de caractères. Le logiciel compare le token stocké côté serveur, avec celui envoyé par l'utilisateur souhaitant supprimer le pastebin. En pratique, la comparaison de chaînes de caractères se fait en comparant les caractères deux à deux. Donc en analysant le temps de réponse, on sait que plus le serveur met de temps à répondre, plus on est proche de la bonne solution ... Le chercheur a généré de nombreux token aléatoirement qu'il a ensuite envoyé au serveur, puis il a analysé statistiquement ceux qui avaient le temps de réponse le plus élevé. Il est ainsi parvenu à retrouver le token de suppression.

L'article présente différentes solutions à ce type de problème.
D'autres solutions possibles ici : https://lehollandaisvolant.net/?id=20211216165143