所有的Web應(yīng)用程序通過實(shí)現(xiàn)各種功能。從根本上講,
成都建站公司用編程語言的編寫代碼就是把一個(gè)復(fù)雜的進(jìn)程分解成一些非常簡(jiǎn)單而又相互獨(dú)立的邏輯步驟。Web應(yīng)用程序的的邏輯缺陷各不相同,它們包括代碼中的簡(jiǎn)單錯(cuò)誤,以及幾種應(yīng)用程序和諧組件等等復(fù)雜的漏洞。有時(shí)候,這些漏洞很明顯,有時(shí)便很難發(fā)現(xiàn),能夠避開最為嚴(yán)格的代碼審查與滲透測(cè)試。
近年來,攻擊者利用漏洞攻擊服務(wù)器欺騙密碼修改比較普遍。例如一個(gè)公司的Web應(yīng)用程序以及AOL AIM企業(yè)網(wǎng)關(guān)應(yīng)用程序中發(fā)現(xiàn)過這種邏輯缺陷。下面
為介紹怎么發(fā)現(xiàn)Web應(yīng)用程序中的欺騙密碼修改功能。1.功能
應(yīng)用程序?yàn)榻K端用戶提供密碼修改功能。它要求用戶填寫用戶名、現(xiàn)有密碼、新密碼與確認(rèn)新密碼字段。應(yīng)用程序還為管理員提供密碼修改功能。這項(xiàng)功能允許它們修改任何用戶的密碼,而不必提交現(xiàn)有的密碼。這兩項(xiàng)功能在同一個(gè)服務(wù)器腳本中執(zhí)行。
2.攻擊方法
一旦確定開發(fā)者做出假設(shè)后,邏輯缺陷就變得非常明顯。當(dāng)然,普通用戶也可以提交并不包含現(xiàn)有密碼參數(shù)的請(qǐng)求,因?yàn)橛脩艨刂扑麄兲岢龅恼?qǐng)求的每一個(gè)方面。這種邏輯可能給應(yīng)用程序造成巨大的破壞,攻擊者可利用這種缺陷重新設(shè)置任何用戶的密碼,完全控制他們的賬戶。
3.假設(shè)
應(yīng)用程序?yàn)橛脩艉凸芾韱T提供客戶端界面僅有一點(diǎn)不同:在管理界面中沒有用于填寫現(xiàn)有密碼的字段。當(dāng)服務(wù)器端應(yīng)用程序處理密碼修改請(qǐng)求時(shí),它通過其中是否包含現(xiàn)有的密碼參數(shù)確定請(qǐng)求是來自管理員,還是來自普通用戶。換句話說,它任務(wù)普通用戶提交現(xiàn)有密碼參數(shù)。
當(dāng)前文章:應(yīng)用程序中的欺騙密碼修改功能
文章地址:http://jinyejixie.com/news37/164687.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供ChatGPT、微信小程序、小程序開發(fā)、企業(yè)建站、移動(dòng)網(wǎng)站建設(shè)、服務(wù)器托管
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源:
創(chuàng)新互聯(lián)