應用程序中的欺騙密碼修改功能
2022-06-07 分類: 網站建設
所有的Web應用程序通過實現各種功能。從根本上講,成都建站公司用編程語言的編寫代碼就是把一個復雜的進程分解成一些非常簡單而又相互獨立的邏輯步驟。Web應用程序的的邏輯缺陷各不相同,它們包括代碼中的簡單錯誤,以及幾種應用程序和諧組件等等復雜的漏洞。有時候,這些漏洞很明顯,有時便很難發現,能夠避開最為嚴格的代碼審查與滲透測試。
近年來,攻擊者利用漏洞攻擊服務器欺騙密碼修改比較普遍。例如一個公司的Web應用程序以及AOL AIM企業網關應用程序中發現過這種邏輯缺陷。下面為介紹怎么發現Web應用程序中的欺騙密碼修改功能。
1.功能
應用程序為終端用戶提供密碼修改功能。它要求用戶填寫用戶名、現有密碼、新密碼與確認新密碼字段。應用程序還為管理員提供密碼修改功能。這項功能允許它們修改任何用戶的密碼,而不必提交現有的密碼。這兩項功能在同一個服務器腳本中執行。
2.攻擊方法
一旦確定開發者做出假設后,邏輯缺陷就變得非常明顯。當然,普通用戶也可以提交并不包含現有密碼參數的請求,因為用戶控制他們提出的請求的每一個方面。這種邏輯可能給應用程序造成巨大的破壞,攻擊者可利用這種缺陷重新設置任何用戶的密碼,完全控制他們的賬戶。
3.假設
應用程序為用戶和管理員提供客戶端界面僅有一點不同:在管理界面中沒有用于填寫現有密碼的字段。當服務器端應用程序處理密碼修改請求時,它通過其中是否包含現有的密碼參數確定請求是來自管理員,還是來自普通用戶。換句話說,它任務普通用戶提交現有密碼參數。
近年來,攻擊者利用漏洞攻擊服務器欺騙密碼修改比較普遍。例如一個公司的Web應用程序以及AOL AIM企業網關應用程序中發現過這種邏輯缺陷。下面為介紹怎么發現Web應用程序中的欺騙密碼修改功能。
1.功能
應用程序為終端用戶提供密碼修改功能。它要求用戶填寫用戶名、現有密碼、新密碼與確認新密碼字段。應用程序還為管理員提供密碼修改功能。這項功能允許它們修改任何用戶的密碼,而不必提交現有的密碼。這兩項功能在同一個服務器腳本中執行。
2.攻擊方法
一旦確定開發者做出假設后,邏輯缺陷就變得非常明顯。當然,普通用戶也可以提交并不包含現有密碼參數的請求,因為用戶控制他們提出的請求的每一個方面。這種邏輯可能給應用程序造成巨大的破壞,攻擊者可利用這種缺陷重新設置任何用戶的密碼,完全控制他們的賬戶。
3.假設
應用程序為用戶和管理員提供客戶端界面僅有一點不同:在管理界面中沒有用于填寫現有密碼的字段。當服務器端應用程序處理密碼修改請求時,它通過其中是否包含現有的密碼參數確定請求是來自管理員,還是來自普通用戶。換句話說,它任務普通用戶提交現有密碼參數。
當前文章:應用程序中的欺騙密碼修改功能
文章地址:http://m.2m8n56k.cn/news37/164687.html
成都網站建設公司_創新互聯,為您提供ChatGPT、微信小程序、小程序開發、企業建站、移動網站建設、服務器托管
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:[email protected]。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯
猜你還喜歡下面的內容
- 企業網絡安全設計系統的威脅主要由哪幾個因素導致的? 2022-06-07
- 簡潔大氣的企業網站應該如何做? 2022-06-07
- 百度SEO排名公司經常會遇到的客戶常見問題都有哪些? 2022-06-07
- 互聯網時代,草根站長在seo網站優化之路上還能走多遠? 2022-06-07
- APP的社交分享功能設計 2022-06-07
- 雙十一網站首頁設計風格展示 2022-06-07
- 如何讓自己的網站排到首頁 2022-06-07
- 網站域名的作用有哪些? 2022-06-07
- 這7個技巧,幫你搞定網頁中背景紋理的設計 2022-06-07
- 網絡公司要為客戶考慮什么? 2022-06-07
- 從本質出發,移動場景營銷的核心是什么 2022-06-07
- 無錫小語種網站該怎么做比較好? 2022-06-07
- 網站優化的常用技巧,你知道哪些? 2022-06-07
- 企業網站為什么要做網絡托管?它的好處是什么呢? 2022-06-07
- 淺談營銷與推銷區別 2022-06-07
- 創新互聯宣傳片的背景音樂怎么選 2022-06-07
- 提高網站內容頁面的點擊率 2022-06-07
- 淺談一些建站失敗的原因 2022-06-07
- 為何你需要一個網站 2022-06-07