如果应用程序以不安全的方式存储登录证书,那么,即使验证过程本身并不存在缺陷,登录机制的安全也会被削弱。
Web应用程序常常以危险的方式将用户证书存储在数据库中,这包括以文明形式存储密码。但是,即使使用MD5或SH-1等标准算法对密码进行散列处理,攻击者仍然可以再预先计算的散类值数据库中查找到散列。因为应用程序使用的数据库账户必须能够随时读/写这些证书,攻击者可以利用应用程序中的许多漏洞进行访问这些证书,例如,命令、SQL注入漏洞或访问控制漏洞。
分析应用程序中所有与验证有关的功能以及任何与用户维护有关的功能。如果发现任何想客户端返回用户密码的情况,即表明应用程序并未以安全的方式保存密码,或者密码以明文的方式呈现,或应用程序使用了原加密形式保存密码。
如果发现应用程序中存在任何一种任意命令或查询执行漏洞,设法确定应用程序将用户证书保存在数据库或文件系统的什么位置。
重庆网站制作,
成都建站公司,
深圳做网站,
深圳网站优化,
眉山网页设计——
创新互联科技有限公司
新闻标题:验证机制执行缺陷之不安全的证书存储
标题来源:/news23/173423.html
成都网站建设公司_创新互联,为您提供小程序开发、关键词优化、网站收录、手机网站建设、面包屑导航、电子商务
广告
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源:
创新互联