應(yīng)用程序中的欺騙密碼修改功能

2022-06-07 分類：網(wǎng)站建設(shè)

所有的Web應(yīng)用程序通過實(shí)現(xiàn)各種功能。從根本上講，成都建站公司用編程語言的編寫代碼就是把一個(gè)復(fù)雜的進(jìn)程分解成一些非常簡單而又相互獨(dú)立的邏輯步驟。Web應(yīng)用程序的的邏輯缺陷各不相同，它們包括代碼中的簡單錯(cuò)誤，以及幾種應(yīng)用程序和諧組件等等復(fù)雜的漏洞。有時(shí)候，這些漏洞很明顯，有時(shí)便很難發(fā)現(xiàn)，能夠避開最為嚴(yán)格的代碼審查與滲透測試。
近年來，攻擊者利用漏洞攻擊服務(wù)器欺騙密碼修改比較普遍。例如一個(gè)公司的Web應(yīng)用程序以及AOL AIM企業(yè)網(wǎng)關(guān)應(yīng)用程序中發(fā)現(xiàn)過這種邏輯缺陷。下面為介紹怎么發(fā)現(xiàn)Web應(yīng)用程序中的欺騙密碼修改功能。
1.功能
應(yīng)用程序?yàn)榻K端用戶提供密碼修改功能。它要求用戶填寫用戶名、現(xiàn)有密碼、新密碼與確認(rèn)新密碼字段。應(yīng)用程序還為管理員提供密碼修改功能。這項(xiàng)功能允許它們修改任何用戶的密碼，而不必提交現(xiàn)有的密碼。這兩項(xiàng)功能在同一個(gè)服務(wù)器腳本中執(zhí)行。
2.攻擊方法
一旦確定開發(fā)者做出假設(shè)后，邏輯缺陷就變得非常明顯。當(dāng)然，普通用戶也可以提交并不包含現(xiàn)有密碼參數(shù)的請求，因?yàn)橛脩艨刂扑麄兲岢龅恼埱蟮拿恳粋€(gè)方面。這種邏輯可能給應(yīng)用程序造成巨大的破壞，攻擊者可利用這種缺陷重新設(shè)置任何用戶的密碼，完全控制他們的賬戶。
3.假設(shè)
應(yīng)用程序?yàn)橛脩艉凸芾韱T提供客戶端界面僅有一點(diǎn)不同：在管理界面中沒有用于填寫現(xiàn)有密碼的字段。當(dāng)服務(wù)器端應(yīng)用程序處理密碼修改請求時(shí)，它通過其中是否包含現(xiàn)有的密碼參數(shù)確定請求是來自管理員，還是來自普通用戶。換句話說，它任務(wù)普通用戶提交現(xiàn)有密碼參數(shù)。

當(dāng)前文章：應(yīng)用程序中的欺騙密碼修改功能
文章地址：http://aaarwkj.com/news37/164687.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供ChatGPT、微信小程序、小程序開發(fā)、企業(yè)建站、移動(dòng)網(wǎng)站建設(shè)、服務(wù)器托管

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容

欧美一级特黄大片做受成人-亚洲成人一区二区电影-激情熟女一区二区三区-日韩专区欧美专区国产专区

應(yīng)用程序中的欺騙密碼修改功能