避開(kāi)應(yīng)用程序的自主訪問(wèn)控制

如果需要安全保護(hù)的應(yīng)用程序邏輯由查詢(xún)結(jié)果控制，攻擊者就可以通過(guò)修改查詢(xún)來(lái)更改應(yīng)用程序的邏輯。舉一個(gè)典型的例子，在后端數(shù)據(jù)存儲(chǔ)區(qū)的用戶表中查詢(xún)與用戶提供的證書(shū)匹配的記錄。許多實(shí)施基于表單的登錄功能的應(yīng)用程序使用數(shù)據(jù)來(lái)儲(chǔ)存用戶證書(shū)，并執(zhí)行簡(jiǎn)單的SQL查詢(xún)來(lái)確認(rèn)每次登錄嘗試。以下是一個(gè)典型的示例：
SELECT*FROM users WHERE username='marcus'and password='secret'
這個(gè)查詢(xún)要求數(shù)據(jù)庫(kù)檢查用戶表中每一行，提取出每條username列值為marcus、password列值為secret的記錄。如果應(yīng)用程序收到一名用戶的資料，登錄嘗試將取得成功，應(yīng)用程序?qū)樵撚脩艚⒁粋€(gè)通過(guò)驗(yàn)證的會(huì)話。
無(wú)論訪問(wèn)操作是由普通用戶還是應(yīng)用程序管理員觸發(fā)，應(yīng)用程序訪問(wèn)數(shù)據(jù)存儲(chǔ)區(qū)的過(guò)程都大致相同。
眉山網(wǎng)頁(yè)設(shè)計(jì)Web應(yīng)用程序?qū)?shù)據(jù)儲(chǔ)存區(qū)都實(shí)施自主訪問(wèn)控制，構(gòu)建查詢(xún)基于用戶的賬戶和類(lèi)型來(lái)搜索、添加或修改數(shù)據(jù)儲(chǔ)存區(qū)中的數(shù)據(jù)。
假如攻擊者不知道管理員的用戶名，該如何實(shí)施攻擊呢？在打多數(shù)應(yīng)用程序中，數(shù)據(jù)的第一個(gè)賬戶為管理用戶，因?yàn)檫@個(gè)賬戶通常手工創(chuàng)建，然后再通過(guò)它生成其他應(yīng)用程序賬戶。而且，如果查詢(xún)返回幾名用戶的資料，許多應(yīng)用程序只會(huì)處理第一名用戶。因此，攻擊者可利用這種行為，以數(shù)據(jù)庫(kù)的第一個(gè)用戶的身份登錄：
OR 1=--
應(yīng)用程序?qū)?zhí)行以下查詢(xún)：
SELECT * FROM users WHERE username='' OR 1--' AND password= 'foo'
因?yàn)槠渲惺褂昧俗⑨尫?hào)，上面的查詢(xún)等同于：
SELECT * FROM users WHERE username='' OR 1=1
該查詢(xún)將返回全部應(yīng)用程序用戶的資料。

分享題目：避開(kāi)應(yīng)用程序的自主訪問(wèn)控制
網(wǎng)站地址：http://www.muchs.cn/news29/166779.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信公眾號(hào)、網(wǎng)站設(shè)計(jì)、Google、靜態(tài)網(wǎng)站、搜索引擎優(yōu)化、虛擬主機(jī)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)