避開應用程序的自主訪問控制

2022-06-13 分類：網站建設

如果需要安全保護的應用程序邏輯由查詢結果控制，攻擊者就可以通過修改查詢來更改應用程序的邏輯。舉一個典型的例子，在后端數據存儲區的用戶表中查詢與用戶提供的證書匹配的記錄。許多實施基于表單的登錄功能的應用程序使用數據來儲存用戶證書，并執行簡單的SQL查詢來確認每次登錄嘗試。以下是一個典型的示例：
SELECT*FROM users WHERE username='marcus'and password='secret'
這個查詢要求數據庫檢查用戶表中每一行，提取出每條username列值為marcus、password列值為secret的記錄。如果應用程序收到一名用戶的資料，登錄嘗試將取得成功，應用程序將為該用戶建立一個通過驗證的會話。
無論訪問操作是由普通用戶還是應用程序管理員觸發，應用程序訪問數據存儲區的過程都大致相同。
眉山網頁設計Web應用程序對數據儲存區都實施自主訪問控制，構建查詢基于用戶的賬戶和類型來搜索、添加或修改數據儲存區中的數據。
假如攻擊者不知道管理員的用戶名，該如何實施攻擊呢？在打多數應用程序中，數據的第一個賬戶為管理用戶，因為這個賬戶通常手工創建，然后再通過它生成其他應用程序賬戶。而且，如果查詢返回幾名用戶的資料，許多應用程序只會處理第一名用戶。因此，攻擊者可利用這種行為，以數據庫的第一個用戶的身份登錄：
OR 1=--
應用程序將執行以下查詢：
SELECT * FROM users WHERE username='' OR 1--' AND password= 'foo'
因為其中使用了注釋符號，上面的查詢等同于：
SELECT * FROM users WHERE username='' OR 1=1
該查詢將返回全部應用程序用戶的資料。

網頁名稱：避開應用程序的自主訪問控制
本文URL：http://m.kartarina.com/news/166779.html

成都網站建設公司_創新互聯，為您提供網站收錄、網站導航、品牌網站制作、網站設計公司、建站公司、網站策劃

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源：創新互聯

猜你還喜歡下面的內容