驗證機制執行缺陷之不安全的證書存儲
2022-06-30 分類: 網站建設
如果應用程序以不安全的方式存儲登錄證書,那么,即使驗證過程本身并不存在缺陷,登錄機制的安全也會被削弱。
Web應用程序常常以危險的方式將用戶證書存儲在數據庫中,這包括以文明形式存儲密碼。但是,即使使用MD5或SH-1等標準算法對密碼進行散列處理,攻擊者仍然可以再預先計算的散類值數據庫中查找到散列。因為應用程序使用的數據庫賬戶必須能夠隨時讀/寫這些證書,攻擊者可以利用應用程序中的許多漏洞進行訪問這些證書,例如,命令、SQL注入漏洞或訪問控制漏洞。
分析應用程序中所有與驗證有關的功能以及任何與用戶維護有關的功能。如果發現任何想客戶端返回用戶密碼的情況,即表明應用程序并未以安全的方式保存密碼,或者密碼以明文的方式呈現,或應用程序使用了原加密形式保存密碼。
如果發現應用程序中存在任何一種任意命令或查詢執行漏洞,設法確定應用程序將用戶證書保存在數據庫或文件系統的什么位置。
重慶網站制作,成都建站公司,深圳做網站,深圳網站優化,眉山網頁設計——創新互聯科技有限公司
Web應用程序常常以危險的方式將用戶證書存儲在數據庫中,這包括以文明形式存儲密碼。但是,即使使用MD5或SH-1等標準算法對密碼進行散列處理,攻擊者仍然可以再預先計算的散類值數據庫中查找到散列。因為應用程序使用的數據庫賬戶必須能夠隨時讀/寫這些證書,攻擊者可以利用應用程序中的許多漏洞進行訪問這些證書,例如,命令、SQL注入漏洞或訪問控制漏洞。
分析應用程序中所有與驗證有關的功能以及任何與用戶維護有關的功能。如果發現任何想客戶端返回用戶密碼的情況,即表明應用程序并未以安全的方式保存密碼,或者密碼以明文的方式呈現,或應用程序使用了原加密形式保存密碼。
如果發現應用程序中存在任何一種任意命令或查詢執行漏洞,設法確定應用程序將用戶證書保存在數據庫或文件系統的什么位置。
重慶網站制作,成都建站公司,深圳做網站,深圳網站優化,眉山網頁設計——創新互聯科技有限公司
本文名稱:驗證機制執行缺陷之不安全的證書存儲
本文鏈接:http://m.kartarina.com/news/173423.html
成都網站建設公司_創新互聯,為您提供App設計、域名注冊、動態網站、網站維護、網站建設、用戶體驗
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯
猜你還喜歡下面的內容
- 便宜/廉價的網站推廣幾種方式 2022-06-30
- 網站首頁設計需要注意哪些方面? 2022-06-30
- 常見視覺效果是如何實現的,設計師也需要了解的一些前端知識 2022-06-30
- 建設企業網站要注意的內容 2022-06-30
- SEO人才為何稀缺工資高?新入行小白如何做好優化工作? 2022-06-30
- 如何做好SEO的優化 2022-06-30
- 網頁設計應急小技巧 2022-06-30
- 網絡營銷推廣需要掌握哪些標題技巧 2022-06-30
- 如何能做好英文網站的優化? 2022-06-30
- 【微博運營之最新資訊】如何運營一個微博? 2022-06-30
- 新手站長須知外鏈建設七大誤區 2022-06-30
- 網站空間的選擇對沈陽網站建設有什么影響 2022-06-30
- 購買服務器的注意事項 2022-06-30
- 網站的網絡營銷是發揮網絡營銷效果的保證 2022-06-30
- SEO導出鏈鏈接有哪些策略 2022-06-30
- 快速獲得外鏈的十個方法 2022-06-30
- 動效讓你的網頁設計得更加圓融 2022-06-30
- 網頁登錄頁面設計欣賞 2022-06-30
- 【微博運營之微博社交】從博客與微博的區別,談社交創新 2022-06-30