所有的Web应用程序通过实现各种功能。从根本上讲,
成都建站公司用编程语言的编写代码就是把一个复杂的进程分解成一些非常简单而又相互独立的逻辑步骤。Web应用程序的的逻辑缺陷各不相同,它们包括代码中的简单错误,以及几种应用程序和谐组件等等复杂的漏洞。有时候,这些漏洞很明显,有时便很难发现,能够避开最为严格的代码审查与渗透测试。
近年来,攻击者利用漏洞攻击服务器欺骗密码修改比较普遍。例如一个公司的Web应用程序以及AOL AIM企业网关应用程序中发现过这种逻辑缺陷。下面
为介绍怎么发现Web应用程序中的欺骗密码修改功能。1.功能
应用程序为终端用户提供密码修改功能。它要求用户填写用户名、现有密码、新密码与确认新密码字段。应用程序还为管理员提供密码修改功能。这项功能允许它们修改任何用户的密码,而不必提交现有的密码。这两项功能在同一个服务器脚本中执行。
2.攻击方法
一旦确定开发者做出假设后,逻辑缺陷就变得非常明显。当然,普通用户也可以提交并不包含现有密码参数的请求,因为用户控制他们提出的请求的每一个方面。这种逻辑可能给应用程序造成巨大的破坏,攻击者可利用这种缺陷重新设置任何用户的密码,完全控制他们的账户。
3.假设
应用程序为用户和管理员提供客户端界面仅有一点不同:在管理界面中没有用于填写现有密码的字段。当服务器端应用程序处理密码修改请求时,它通过其中是否包含现有的密码参数确定请求是来自管理员,还是来自普通用户。换句话说,它任务普通用户提交现有密码参数。
当前文章:应用程序中的欺骗密码修改功能
文章地址:https://www.cdcxhl.com/news37/164687.html
成都网站建设公司_创新互联,为您提供ChatGPT、微信小程序、小程序开发、企业建站、移动网站建设、服务器托管
广告
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源:
创新互联