应用程序现实中的逻辑缺陷

2022-06-19    分类: 网站建设

成都建站公司在许多不同类型的应用程序中发现“加密提示”漏洞。攻击者可以利用这种漏洞实施各种攻击,如解密打印软件中的域证书或破坏云计算。下面是这种漏洞的一个典型的示例,在一个燃机销售点上发现的。
1.功能
该应用程序实施“记住我”功能,允许应用程序在浏览器中设置一个永久的cookie,用户从而无须登录即可访问应用程序。这个cookie受到一个加密算法的保护,以防止篡改或披露。该算法基于一个由姓名、用户ID和不定数据组成的字符串,以确保合成值是唯一的,并且无法预测。
2.假设
开发者认为,与RememberMe cookie相比,SceenName cookie对攻击者而言价值不大,于是他们决定使用相同的加密算法来保护这两个cookie。他们没有考虑的是,用户可以指定自己的呢称,并在屏幕上查看该名称。这在无意间使用用户能够访问用于保护永久身份验证令牌RenneberMe的加密功能及加密密匙。
3.攻击方法
在一个简单的攻击中,用户提交其RememberMe cookie相比,ScreenName cookie的加密值来替代家门的ScreenName cookie。在向用户显示昵称时,应用程序将解密该值,如果解密成功,将在屏幕上显示结果。如果用户退出系统后重新登录,应用程序就会加密这个值,将它作为加密的ScreenName cookie存储在浏览器中。如果攻击者提交这个加密的令牌,将它作为RememberMe cookie的值,应用程序就会解密该cookie,读取用户ID,并让攻击者以管理员身份登录。即使应用程序采用三重DES加密,使用强大的密匙并阻止重放攻击,攻击者仍然可以将应用程序作为“加密提示”,以解密并密任意值。

本文题目:应用程序现实中的逻辑缺陷
文章链接:/news42/169392.html

成都网站建设公司_创新互联,为您提供网站建设外贸建站虚拟主机网站设计公司标签优化建站公司

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

成都app开发公司