【asp源码栏目提醒】:文章导读:在新的一年中,各位网友都进入紧张的学习或是工作阶段。
网学会员整理了asp源码-ASP验证漏洞问题的分析 - 大众科技的相关内容供大家参考,祝大家在新的一年里工作和学习顺利!
阐茜网络安全已经成为互联网最热门的话题之一与现实相对应的网络安全的部属、实现也就成为一个企业特刖关心的问题。
现在的网站特别是稍微大一点的网站一般都采用、或者等脚本语言来连接数据库取得数据库里面的数据生成动态网页这样当一个网站完全建立以后程序就会很多特别是网页设计的特殊性服务器与用户的交互程序特别多所以如果程序员不是很有经验或者没有强烈的安全意识程序的漏洞就会很多给网站带来不可估量的安全隐患。
这些程序漏洞??定程度上可能比网站服务器的漏洞更加严重因为这些漏洞防火墙或者人侵检测系统根本无法防止。
的密码验证漏洞的密码验证漏洞是因为在程序验证账号密码的时候程序不严谨造成的。
我们在程序设计的时候常常将账号、密码放在一个叫“”的数据表中设置“”和“”两个字段当验证的时候检查用户的输入是否存在于这个数据表如果存在证明这个用户合法不存在证明用户不合法。
验证漏洞的出现就是这个验证代码的编写不严谨造成的。
大部分的密码验证系统也都是甩类似的方式来处理使用者输人账号密码验证系统比对数据库记录这种处理方法在程序设计逻辑上完全是正确的但是他们忘记考虑了身为描述语言的安全问题。
首先我们来看一段原代码。
”…。
……‘…””””””使用者账号或密码错误。
”号或密码有问题。
漏洞的利用此时只要根据构造一个特殊的用户名或者密码如用户名’’’’密码。
这样程序将会变成这样”’’’’’’’”’。
我们都知道是一个逻辑运算符作用是在判断两个条件的时候只要其中一个条件成立那么等式将会成立。
而在计算机语言中是以来代表真那么在这行语句中原语句的“”验证将不再继续而因为…’’…和””令语句返回为真值。
类似的仞子很多仞用户名密码’‘。
总之无论任何用户名和密码最终的目的是利用“”以及“”后面的等式成立从而使得验证过程中不再执行“”后面的判定。
漏洞修改的方法对的验证漏洞进行修改方法很多比如修改语句或者语句从程序设计角度堵塞漏洞的产生。
程序代码如下””’”…”—”””’登录成功使用这种方法的前提条件是在中采用算法加密。
即使别人输入’’’’”这样的代码他可以绕过第‘步验证但是在第个判断的时候因为在加密之后根本不存在’‘’”之类的符号所以不能通过验证。
另外一种简单的方法我们可以把用户输入的译引号字符替换掉。
如上面程序中’输入的”””……’账号’’输入的密码’就是把输入的账号密码数””…”””据与数据库内所有的记录傲比对看看它们有没有在数据再用”……库内如果没有找到记录存在的话就代表使用者输