深圳网站建设
深圳市方与圆网络科技有限公司是一家专注于高品质网站建设、网站设计、网站制作和优化推广的互联网应用服务公司
首页 > 行业新闻 > 验证机制执行缺陷之不安全的证书存储
Industry News 行业新闻
验证机制执行缺陷之不安全的证书存储
发布时间:2014-7-18 22:25:28  |  浏览次数:  |   来源:深圳市方与圆网络科技有限公司
如果应用程序以不安全的方式存储登录证书,那么,即使验证过程本身并不存在缺陷,登录机制的安全也会被削弱。
Web应用程序常常以危险的方式将用户证书存储在数据库中,这包括以文明形式存储密码。但是,即使使用MD5或SH-1等标准算法对密码进行散列处理,攻击者仍然可以再预先计算的散类值数据库中查找到散列。因为应用程序使用的数据库账户必须能够随时读/写这些证书,攻击者可以利用应用程序中的许多漏洞进行访问这些证书,例如,命令、SQL注入漏洞或访问控制漏洞。
分析应用程序中所有与验证有关的功能以及任何与用户维护有关的功能。如果发现任何想客户端返回用户密码的情况,即表明应用程序并未以安全的方式保存密码,或者密码以明文的方式呈现,或应用程序使用了原加密形式保存密码。
如果发现应用程序中存在任何一种任意命令或查询执行漏洞,设法确定应用程序将用户证书保存在数据库或文件系统的什么位置。

深圳网站制作,深圳建站公司,深圳做网站,深圳网站优化,深圳网站设计——深圳市方与圆网络科技有限公司
咨询热线:0755-21053063   13631618751   E-MAIL:sales@szfyweb.com
地址:深圳市龙华新区龙华街道东环一路南方明珠B座5楼   网址:www.szfyweb.com
版权所有 © 2013-2020 深圳市方与圆网络科技有限公司 粤ICP备14006986号    
在线留言  |  点击这里给我发消息