所有的Web應(yīng)用程序通過(guò)實(shí)現(xiàn)各種功能。從根本上講，成都建站公司用編程語(yǔ)言的編寫(xiě)代碼就是把一個(gè)復(fù)雜的進(jìn)程分解成一些非常簡(jiǎn)單而又相互獨(dú)立的邏輯步驟。Web應(yīng)用程序的的邏輯缺陷各不相同，它們包括代碼中的簡(jiǎn)單錯(cuò)誤，以及幾種應(yīng)用程序和諧組件等等復(fù)雜的漏洞。有時(shí)候，這些漏洞很明顯，有時(shí)便很難發(fā)現(xiàn)，能夠避開(kāi)最為嚴(yán)格的代碼審查與滲透測(cè)試。
近年來(lái)，攻擊者利用漏洞攻擊服務(wù)器欺騙密碼修改比較普遍。例如一個(gè)公司的Web應(yīng)用程序以及AOL AIM企業(yè)網(wǎng)關(guān)應(yīng)用程序中發(fā)現(xiàn)過(guò)這種邏輯缺陷。下面為介紹怎么發(fā)現(xiàn)Web應(yīng)用程序中的欺騙密碼修改功能。
1.功能
應(yīng)用程序?yàn)榻K端用戶(hù)提供密碼修改功能。它要求用戶(hù)填寫(xiě)用戶(hù)名、現(xiàn)有密碼、新密碼與確認(rèn)新密碼字段。應(yīng)用程序還為管理員提供密碼修改功能。這項(xiàng)功能允許它們修改任何用戶(hù)的密碼，而不必提交現(xiàn)有的密碼。這兩項(xiàng)功能在同一個(gè)服務(wù)器腳本中執(zhí)行。
2.攻擊方法
一旦確定開(kāi)發(fā)者做出假設(shè)后，邏輯缺陷就變得非常明顯。當(dāng)然，普通用戶(hù)也可以提交并不包含現(xiàn)有密碼參數(shù)的請(qǐng)求，因?yàn)橛脩?hù)控制他們提出的請(qǐng)求的每一個(gè)方面。這種邏輯可能給應(yīng)用程序造成巨大的破壞，攻擊者可利用這種缺陷重新設(shè)置任何用戶(hù)的密碼，完全控制他們的賬戶(hù)。
3.假設(shè)
應(yīng)用程序?yàn)橛脩?hù)和管理員提供客戶(hù)端界面僅有一點(diǎn)不同：在管理界面中沒(méi)有用于填寫(xiě)現(xiàn)有密碼的字段。當(dāng)服務(wù)器端應(yīng)用程序處理密碼修改請(qǐng)求時(shí)，它通過(guò)其中是否包含現(xiàn)有的密碼參數(shù)確定請(qǐng)求是來(lái)自管理員，還是來(lái)自普通用戶(hù)。換句話說(shuō)，它任務(wù)普通用戶(hù)提交現(xiàn)有密碼參數(shù)。

當(dāng)前文章：應(yīng)用程序中的欺騙密碼修改功能
文章地址：http://www.rwnh.cn/news37/164687.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供ChatGPT、微信小程序、小程序開(kāi)發(fā)、企業(yè)建站、移動(dòng)網(wǎng)站建設(shè)、服務(wù)器托管

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)