中文字幕日韩精品一区二区免费_精品一区二区三区国产精品无卡在_国精品无码专区一区二区三区_国产αv三级中文在线

避開應(yīng)用程序的自主訪問控制

2022-06-13    分類: 網(wǎng)站建設(shè)

如果需要安全保護的應(yīng)用程序邏輯由查詢結(jié)果控制,攻擊者就可以通過修改查詢來更改應(yīng)用程序的邏輯。舉一個典型的例子,在后端數(shù)據(jù)存儲區(qū)的用戶表中查詢與用戶提供的證書匹配的記錄。許多實施基于表單的登錄功能的應(yīng)用程序使用數(shù)據(jù)來儲存用戶證書,并執(zhí)行簡單的SQL查詢來確認每次登錄嘗試。以下是一個典型的示例:
SELECT*FROM users WHERE username='marcus'and password='secret'
這個查詢要求數(shù)據(jù)庫檢查用戶表中每一行,提取出每條username列值為marcus、password列值為secret的記錄。如果應(yīng)用程序收到一名用戶的資料,登錄嘗試將取得成功,應(yīng)用程序?qū)樵撚脩艚⒁粋€通過驗證的會話。
無論訪問操作是由普通用戶還是應(yīng)用程序管理員觸發(fā),應(yīng)用程序訪問數(shù)據(jù)存儲區(qū)的過程都大致相同。
眉山網(wǎng)頁設(shè)計Web應(yīng)用程序?qū)?shù)據(jù)儲存區(qū)都實施自主訪問控制,構(gòu)建查詢基于用戶的賬戶和類型來搜索、添加或修改數(shù)據(jù)儲存區(qū)中的數(shù)據(jù)。
假如攻擊者不知道管理員的用戶名,該如何實施攻擊呢?在打多數(shù)應(yīng)用程序中,數(shù)據(jù)的第一個賬戶為管理用戶,因為這個賬戶通常手工創(chuàng)建,然后再通過它生成其他應(yīng)用程序賬戶。而且,如果查詢返回幾名用戶的資料,許多應(yīng)用程序只會處理第一名用戶。因此,攻擊者可利用這種行為,以數(shù)據(jù)庫的第一個用戶的身份登錄:
OR 1=--
應(yīng)用程序?qū)?zhí)行以下查詢:
SELECT * FROM users WHERE username='' OR 1--' AND password= 'foo'
因為其中使用了注釋符號,上面的查詢等同于:
SELECT * FROM users WHERE username='' OR 1=1
該查詢將返回全部應(yīng)用程序用戶的資料。

分享題目:避開應(yīng)用程序的自主訪問控制
網(wǎng)站地址:http://m.rwnh.cn/news29/166779.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供微信公眾號、網(wǎng)站設(shè)計、Google靜態(tài)網(wǎng)站、搜索引擎優(yōu)化虛擬主機

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

成都網(wǎng)站建設(shè)
福鼎市| 旌德县| 成武县| 高碑店市| 安岳县| 泌阳县| 樟树市| 财经| 永州市| 靖安县| 南丹县| 庆安县| 丰顺县| 兴业县| 龙泉市| 大丰市| 汉沽区| 都匀市| 织金县| 贵港市| 彩票| 灵璧县| 广南县| 湖口县| 新余市| 河池市| 隆尧县| 青龙| 鱼台县| 阿拉善右旗| 茶陵县| 柏乡县| 乐安县| 望都县| 大厂| 抚远县| 会同县| 皋兰县| 兴城市| 太和县| 会泽县|