WenGoat实验之Inptoper Error Handling(错误处理不当)- 2016.01.09
来源:互联网 发布:d3.js 鼠标右键 编辑:程序博客网 时间:2024/06/10 04:27
Fail Open Authentication Scheme(打开认证失败方案),有时候我们在服务端接受客户端数据的时候并没有判断这个参数是否存在就对其直接使用,这是很不安全的,因为往往会由于参数的缺少而引发意外的异常,这也是我们对错误处理 不当而导致的(我们应该在对所有可能的错误都判断完之后再给出验证结果,否则存在验证结果为 true吗,但是程序意外出错的情况)。
这个实验中,用户需要绕过认证检查,以用户名 webgoat 登录。其中给出的提示是我们可以不输入密码,但是尝试了几次,即使不输入密码也是报错,后来思考了一下,不输入密码即密码为空,还是被当做参数传过去,难道是去掉密码这个参数,然后服务端在对这个参数进行判断相等等的操作时,由于不存在这个参数而出现错误,进而绕过验证。于是就开启了 Webscarab 对数据拦截,如图 1 去掉了 Password 项,然后提交,果然成功了,如图 2 所示。
图 1
图 2
1 0
- WenGoat实验之Inptoper Error Handling(错误处理不当)- 2016.01.09
- 错误处理(Error Handling)
- 《代码大全》之错误处理技术(Error-Handling Techniques)
- 错误处理(Error Handling)
- Error Handling 错误处理
- Swift 错误处理(Error Handling)
- Swift错误处理(Error Handling)
- Swift-错误处理(Error Handling)(十六)
- swift3新路程(11)错误处理(Error Handling)
- 对照Java学习Swift--错误处理(Error Handling)
- RxJava 学习笔记(九) --- Error Handling 错误处理操作
- 错误处理(Error-Handling):为何、何时、如何
- 错误处理(Error-Handling):为何、何时、如何
- 7.5 Error Handling 错误处理 - Catch/Retry
- 《Windows Via C/C++》边学习,边翻译(一)错误处理(Error Handling)
- Swift学习笔记21——错误处理(Error Handling)
- 错误处理(Error-Handling):为何、何时、如何(rev#2)
- 错误处理(Error-Handling):为何、何时、如何(rev#2)
- xcode 空工程 模板 及 步骤
- 异步加载数据 jQuery $.getJSON
- VS编译duilib项目时候的错误解决方法整理
- Java类当中初始化模块
- poj3468 A Simple Problem with Integers(Splay)
- WenGoat实验之Inptoper Error Handling(错误处理不当)- 2016.01.09
- 由最简单的例子理解接口的实例化和面向接口编程
- 第1章第2节 线性表的链式表示(2)
- python文件中 `if __name__ == '__main__':` 的作用
- 用自己的keystore替换eclipse默认签名文件
- 关于Unity3D接入SDK之后,游戏中的文字输入框无法输入内容的问题
- 牛客网 | 碰撞的蚂蚁
- iOS 枚举
- eclipse自动补全代码以及jadoc文档注释