关于公开会话SESSION值可能存在被“伪装”的不安全性的一点想法
来源:互联网 发布:实木地板复合地板知乎 编辑:程序博客网 时间:2024/06/05 15:05
时下,很多网站及网络管理系统走的是开源的道路。开源,固然很好,可以推动技术、学术交流,促进技术进步;但是往往会有“树大招风”之险,越是开源的东西免不了会为很多人去研究、检测、改进、发展,其健壮性、安全性当然就更高的要求。
与此同时,为了省事,很多人喜欢把开源的系统直接拿来使用,有些只改了小部分的内容,如标题等,而那些具有重要性能的部分继续沿用原来的内容,如检验用户是否登录的session会话等页面没有重新设置。这样,就可能存在一些不可避免的风险。下面仅就session做以简单探讨:
如某开源网站的后台登录检验过程为:检验会话SESSION("DENLGU")是否为空,大家一看到这个模式的网站就大概知道了这个开源网站的后台文件的位置和身份验证会话的值。这个时候,如果利用某些漏洞将一个包含为此会话赋值的asp文件上传到此站的某个位置,然后执行一下以后此会话值就不为空了,那么就有进入此网站后台的可能性。
当然,前提是要能利用此网站的上传文件漏洞,这里只是做以简单探讨。
与此同时,为了省事,很多人喜欢把开源的系统直接拿来使用,有些只改了小部分的内容,如标题等,而那些具有重要性能的部分继续沿用原来的内容,如检验用户是否登录的session会话等页面没有重新设置。这样,就可能存在一些不可避免的风险。下面仅就session做以简单探讨:
如某开源网站的后台登录检验过程为:检验会话SESSION("DENLGU")是否为空,大家一看到这个模式的网站就大概知道了这个开源网站的后台文件的位置和身份验证会话的值。这个时候,如果利用某些漏洞将一个包含为此会话赋值的asp文件上传到此站的某个位置,然后执行一下以后此会话值就不为空了,那么就有进入此网站后台的可能性。
当然,前提是要能利用此网站的上传文件漏洞,这里只是做以简单探讨。
- 关于公开会话SESSION值可能存在被“伪装”的不安全性的一点想法
- PHP session会话的安全性分析
- 关于.net的一点想法
- 关于黄家驹的一点想法
- 关于UML的一点想法
- 关于Wiki 的一点想法
- 关于 EPO 的一点想法
- 关于屏蔽的一点想法
- 关于J2SE的一点想法
- 关于离开的一点想法
- 关于需求的一点想法
- 关于REST的一点想法
- 关于REST的一点想法
- 关于REST的一点想法
- 关于REST的一点想法
- 关于REST的一点想法
- 关于REST的一点想法
- 关于.net的一点想法
- Refactoring to Patterns 读书笔记(三)
- 21世纪最需要的七种人才
- 软件中国2006
- huankfy.spaces.live.com已无法使用
- 重拾书本
- 关于公开会话SESSION值可能存在被“伪装”的不安全性的一点想法
- a full and happy day
- jsf使用技巧荟萃
- static用法小结
- 将gridview的内容导出到excel中去
- ASSetPropflags的用法
- 沉舟侧畔千帆过,病树前头万木春!
- C#中ListView添加系统文件图标
- C#中文数字表达式