深圳网站建设
深圳市方与圆网络科技有限公司是一家专注于高品质网站建设、网站设计、网站制作和优化推广的互联网应用服务公司
首页 > 行业新闻 > 应用程序现实中的逻辑缺陷
Industry News 行业新闻
应用程序现实中的逻辑缺陷
发布时间:2014/6/25 23:55:40  |  浏览次数:  |   来源:深圳市方与圆网络科技有限公司
深圳建站公司在许多不同类型的应用程序中发现“加密提示”漏洞。攻击者可以利用这种漏洞实施各种攻击,如解密打印软件中的域证书或破坏云计算。下面是这种漏洞的一个典型的示例,在一个燃机销售点上发现的。
1.功能
该应用程序实施“记住我”功能,允许应用程序在浏览器中设置一个永久的cookie,用户从而无须登录即可访问应用程序。这个cookie受到一个加密算法的保护,以防止篡改或披露。该算法基于一个由姓名、用户ID和不定数据组成的字符串,以确保合成值是唯一的,并且无法预测。
2.假设
开发者认为,与RememberMe cookie相比,SceenName cookie对攻击者而言价值不大,于是他们决定使用相同的加密算法来保护这两个cookie。他们没有考虑的是,用户可以指定自己的呢称,并在屏幕上查看该名称。这在无意间使用用户能够访问用于保护永久身份验证令牌RenneberMe的加密功能及加密密匙。
3.攻击方法
在一个简单的攻击中,用户提交其RememberMe cookie相比,ScreenName cookie的加密值来替代家门的ScreenName cookie。在向用户显示昵称时,应用程序将解密该值,如果解密成功,将在屏幕上显示结果。如果用户退出系统后重新登录,应用程序就会加密这个值,将它作为加密的ScreenName cookie存储在浏览器中。如果攻击者提交这个加密的令牌,将它作为RememberMe cookie的值,应用程序就会解密该cookie,读取用户ID,并让攻击者以管理员身份登录。即使应用程序采用三重DES加密,使用强大的密匙并阻止重放攻击,攻击者仍然可以将应用程序作为“加密提示”,以解密并密任意值。
咨询热线:0755-21053063   18926503767   E-MAIL:sales@szfyweb.com
地址:深圳市龙华新区龙华街道东环一路南方明珠B座5楼   网址:www.szfyweb.com
版权所有 © 2013-2020 深圳市方与圆网络科技有限公司 粤ICP备14006986号    
在线留言  |  点击这里给我发消息