網(wǎng)絡(luò)安全系列之十萬能密碼登錄網(wǎng)站后臺

在登錄網(wǎng)站后臺時,有一個比較古老的“萬能密碼”漏洞,即利用一個我們精心構(gòu)造的用戶名,即使不用輸入密碼,也可以登錄后臺,其原理仍屬于SQL注入的范疇。

我們提供的服務(wù)有:網(wǎng)站制作、做網(wǎng)站、微信公眾號開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認證、鹽田ssl等。為上千多家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù),是有科學(xué)管理、有技術(shù)的鹽田網(wǎng)站制作公司

假設(shè)數(shù)據(jù)庫中存放用戶信息的表是admin,其中存放用戶名的字段是username,存放密碼的字段是password,在用戶驗證頁面中用來接收用戶所輸入的用戶名和密碼的變量也分別是username和password,當(dāng)用戶在用戶驗證頁面輸入用戶名和密碼后,會提交給如下的語句進行處理:

select * from admin where `username` = ‘$userrname’ and `password` = ‘$password’

這樣,當(dāng)用戶輸入用戶名'or '' = '時,相應(yīng)的語句就變成了

select * from admin where `username` = ‘’ or ‘’ =‘’and `password` = ‘’

在這個語句中,where后面所指定的條件永久成立,因而就可以繞過身份驗證,也就成為了所謂的萬能密碼。

萬能密碼中開頭和結(jié)尾的單引號,主要是為了將查詢語句中引用變量的單引號閉合。因而掌握了這個特點之后,我們就可以來任意構(gòu)造萬能密碼,比如下面的幾種形式:

' or 'a'='a'or'a'='a

' or ‘a(chǎn)’ = ‘a(chǎn)’ or ‘

' or 1=1 or ‘

下面我們就搭建一個實驗環(huán)境來驗證萬能密碼,這里使用軟件NPMserv來搭建實驗平臺,利用該軟件可以快速搭建一個nginx+php+MySQL的Web平臺。軟件內(nèi)置了2個帶有漏洞的php網(wǎng)站,在使用時只需將相應(yīng)網(wǎng)站所在的文件夾改名為www即可啟用。軟件下載地址:http://down.51cto.com/data/1886128。

環(huán)境搭建好之后,訪問網(wǎng)站:

網(wǎng)絡(luò)安全系列之十 萬能密碼登錄網(wǎng)站后臺 

點擊“管理中心”,登錄后臺。在“用戶名”中構(gòu)造一個萬能密碼登錄,“密碼”可以不輸或者隨意輸入:

網(wǎng)絡(luò)安全系列之十 萬能密碼登錄網(wǎng)站后臺 

可以成功登錄:

網(wǎng)絡(luò)安全系列之十 萬能密碼登錄網(wǎng)站后臺 

下面在WAF中設(shè)置策略,來對萬能密碼進行過濾。

首先在策略管理中新建一條名為P-deny的策略。

網(wǎng)絡(luò)安全系列之十 萬能密碼登錄網(wǎng)站后臺 

然后在“基本***防護”中對策略進行設(shè)置,將狀態(tài)設(shè)為“開啟”,動作設(shè)為“阻止”。

網(wǎng)絡(luò)安全系列之十 萬能密碼登錄網(wǎng)站后臺 

仍是在“基本***防護”中來創(chuàng)建自定義規(guī)則,神州數(shù)碼WAF的絕大部分功能都是通過自定義規(guī)則來實現(xiàn)的,因而這里是WAF設(shè)置的重中之重。

這里創(chuàng)建一條名為“nopass”的規(guī)則,在規(guī)則中主要是來定義正則表達式,對SQL注入的語句進行過濾。

在檢測域中設(shè)置“參數(shù)”,在匹配方式中設(shè)置“正則匹配”,在數(shù)值中設(shè)置正則表達式。

這里根據(jù)萬能密碼的特點,我設(shè)置如下的正則表達式:

.*’.*or.*’

.可以匹配任意字符;

*表示表達式不出現(xiàn)或者出現(xiàn)任意次,因而.*可以匹配任意數(shù)量的任意字符。

網(wǎng)絡(luò)安全系列之十 萬能密碼登錄網(wǎng)站后臺 

策略設(shè)置完成后,在服務(wù)管理中將P-deny策略應(yīng)用到之前創(chuàng)建的web策略上。

網(wǎng)絡(luò)安全系列之十 萬能密碼登錄網(wǎng)站后臺 

這樣當(dāng)在客戶端再次通過萬能密碼登入后臺時,便會報錯。 

網(wǎng)絡(luò)安全系列之十 萬能密碼登錄網(wǎng)站后臺

文章題目:網(wǎng)絡(luò)安全系列之十萬能密碼登錄網(wǎng)站后臺
地址分享:http://bm7419.com/article26/jjeocg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站內(nèi)鏈、動態(tài)網(wǎng)站、、自適應(yīng)網(wǎng)站標簽優(yōu)化、網(wǎng)站策劃

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

成都做網(wǎng)站