應(yīng)用程序中的欺騙密碼修改功能

2022-06-07    分類: 網(wǎng)站建設(shè)

所有的Web應(yīng)用程序通過實現(xiàn)各種功能。從根本上講,成都建站公司用編程語言的編寫代碼就是把一個復雜的進程分解成一些非常簡單而又相互獨立的邏輯步驟。Web應(yīng)用程序的的邏輯缺陷各不相同,它們包括代碼中的簡單錯誤,以及幾種應(yīng)用程序和諧組件等等復雜的漏洞。有時候,這些漏洞很明顯,有時便很難發(fā)現(xiàn),能夠避開最為嚴格的代碼審查與滲透測試。
近年來,攻擊者利用漏洞攻擊服務(wù)器欺騙密碼修改比較普遍。例如一個公司的Web應(yīng)用程序以及AOL AIM企業(yè)網(wǎng)關(guān)應(yīng)用程序中發(fā)現(xiàn)過這種邏輯缺陷。下面為介紹怎么發(fā)現(xiàn)Web應(yīng)用程序中的欺騙密碼修改功能。
1.功能
應(yīng)用程序為終端用戶提供密碼修改功能。它要求用戶填寫用戶名、現(xiàn)有密碼、新密碼與確認新密碼字段。應(yīng)用程序還為管理員提供密碼修改功能。這項功能允許它們修改任何用戶的密碼,而不必提交現(xiàn)有的密碼。這兩項功能在同一個服務(wù)器腳本中執(zhí)行。
2.攻擊方法
一旦確定開發(fā)者做出假設(shè)后,邏輯缺陷就變得非常明顯。當然,普通用戶也可以提交并不包含現(xiàn)有密碼參數(shù)的請求,因為用戶控制他們提出的請求的每一個方面。這種邏輯可能給應(yīng)用程序造成巨大的破壞,攻擊者可利用這種缺陷重新設(shè)置任何用戶的密碼,完全控制他們的賬戶。
3.假設(shè)
應(yīng)用程序為用戶和管理員提供客戶端界面僅有一點不同:在管理界面中沒有用于填寫現(xiàn)有密碼的字段。當服務(wù)器端應(yīng)用程序處理密碼修改請求時,它通過其中是否包含現(xiàn)有的密碼參數(shù)確定請求是來自管理員,還是來自普通用戶。換句話說,它任務(wù)普通用戶提交現(xiàn)有密碼參數(shù)。

當前文章:應(yīng)用程序中的欺騙密碼修改功能
文章地址:http://www.bm7419.com/news37/164687.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供ChatGPT、微信小程序、小程序開發(fā)、企業(yè)建站移動網(wǎng)站建設(shè)、服務(wù)器托管

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

微信小程序開發(fā)