应用程序现实中的逻辑缺陷

2022-06-19 分类：网站建设

成都建站公司在许多不同类型的应用程序中发现“加密提示”漏洞。攻击者可以利用这种漏洞实施各种攻击，如解密打印软件中的域证书或破坏云计算。下面是这种漏洞的一个典型的示例，在一个燃机销售点上发现的。
1.功能
该应用程序实施“记住我”功能，允许应用程序在浏览器中设置一个永久的cookie，用户从而无须登录即可访问应用程序。这个cookie受到一个加密算法的保护，以防止篡改或披露。该算法基于一个由姓名、用户ID和不定数据组成的字符串，以确保合成值是唯一的，并且无法预测。
2.假设
开发者认为，与RememberMe cookie相比，SceenName cookie对攻击者而言价值不大，于是他们决定使用相同的加密算法来保护这两个cookie。他们没有考虑的是，用户可以指定自己的呢称，并在屏幕上查看该名称。这在无意间使用用户能够访问用于保护永久身份验证令牌RenneberMe的加密功能及加密密匙。
3.攻击方法
在一个简单的攻击中，用户提交其RememberMe cookie相比，ScreenName cookie的加密值来替代家门的ScreenName cookie。在向用户显示昵称时，应用程序将解密该值，如果解密成功，将在屏幕上显示结果。如果用户退出系统后重新登录，应用程序就会加密这个值，将它作为加密的ScreenName cookie存储在浏览器中。如果攻击者提交这个加密的令牌，将它作为RememberMe cookie的值，应用程序就会解密该cookie，读取用户ID，并让攻击者以管理员身份登录。即使应用程序采用三重DES加密，使用强大的密匙并阻止重放攻击，攻击者仍然可以将应用程序作为“加密提示”，以解密并密任意值。

本文题目：应用程序现实中的逻辑缺陷
文章链接：https://www.cdcxhl.com/news42/169392.html

成都网站建设公司_创新互联，为您提供网站建设、外贸建站、虚拟主机、网站设计公司、标签优化、建站公司

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：创新互联

猜你还喜欢下面的内容