【华阳app下载安装-华阳彩票app下载安装】越权漏洞 令16万招聘数据曝光

  • 时间:
  • 浏览:0
  • 来源:彩神快三APP

越权漏洞 令十五万招聘数据曝光

  • 2016/11/29 10:12:26
  • 类型:原创
  • 来源:电脑报
  • 报纸编辑:电脑报
  • 作者:

【电脑报在线】现在收入高的行业越多,汽车工程师绝对算一五个多多 ,相关的招聘总要人头涌动。最近,有黑客发现某车企的招聘系统有安全漏洞,黑客假使 随意修改数字就可以 看了十五万人的我个人所有所有隐私,相似身份证号码、身高、照片等数据。

安全预警

每天总要新的安全威胁产生,每天总要电脑遭受攻击,每天亲戚亲戚朋友都收到什么都有 安全求助信。亲戚亲戚朋友将从哪此求助信息中确定出具有代表性的进行深入的分析和讨论,给出具有通用性质的补救方案。微博求助:http://weibo.com/cdx1983

      现在收入高的行业越多,汽车工程师绝对算一五个多多 ,相关的招聘总要人头涌动。最近,有黑客发现某车企的招聘系统有安全漏洞,黑客假使 随意修改数字就可以 看了16万人的我个人所有所有隐私,相似身份证号码、身高、照片等数据。

技术分析

            白帽子 路人甲:帮亲戚亲戚朋友确定一款汽车时,登录了某品牌的官网,无意中看了了旗下的招聘系统网址,http://rec****.***.cn/re****t***t/resume/addresume/person_id/161101/lid/1/job_id/1,这个网址就比较有趣了,person_id代表的是应聘用户的账号,161101导致 分析用户数量超过16万,肯能位于越权漏洞,那么 修改一次161101这个数据,就可以 看了一五个多多 用户的应聘数据。经过测试还真的是本来 。

      哪此是越权漏洞?越权漏洞是并不是常见的低级漏洞,可以 那么 来理解,一五个多多 正常的用户A通常必须够对我个人所有所有的其他信息进行增完正查,否则肯能守护线程池池员的一时疏忽,未对信息增完正查的进行一五个多多 权限的判断,导致 分析查询该信息的人可以 是A,不可以 是B,换句话说也本来 允许A用户查询其他所有用户的信息。下面用SQL举例说明一下:

增加内容:insert into tablename values(其他字段) where userid/username=12345/用户名

删除内容:delete from tablename where id=123

更改内容:update 其他字段 tablename set 其他字段 where userid/username=12345/用户名

查询内容:select * from tablename where id=12345

      亲戚亲戚朋友可以 看了,以上话语都涉及where,而中间的useridusername即是越权的突破口。在进行数据库请求中往往会带着其他参数来用于辨别信息的唯一值,而哪此参数本来 越权的突破口。另外,测试越权一般得有俩号;对useridorderidID要敏感;一旦发现就多测测,多使用抓包工具,多分析数据包,多修改数据包。

            小贴士:确实越权漏洞也是肯能权限管理不善导致 分析的,什么都有 数据库系统、网站管理系统采用硬编码法律最好的依据,位于权限逻辑与业务代码紧密耦合,一齐又分散在系统各个地方。系统漏洞势必非常多,否则随着系统不断修改,漏洞逐步增多。

 

泄露我个人所有所有隐私

读者点评

@叶晓阳:这个漏洞危害大,任何人都可以 当黑客看了别人的隐私数据。

@Simond:服务器端肯能对请求次数做了限制话语,本来 会造成大面积用户隐私泄露,相似指定一五个多多 Cookie请求不同账号的次数必须超过五个,实际上一台电脑不肯能在一五个多多 网站一齐注册五个账号的。

本文出自2016-11-28出版的《电脑报》2016年第47期 A.新闻周刊 (网站编辑:pcw2013)

发表给力评论!看新闻,说两句。

匿名 ctrl+enter快捷提交

网站地图 | 版权声明 | 业务相互相互合作 | 感情话语链接 | 关于亲戚亲戚朋友 | 招聘信息

报纸客服电话:5006677866 报纸客服信箱:pcw-advice@vip.sina.com 感情话语链接与相互相互合作:987349267(QQ) 广告与活动:6750009(QQ) 网站联系信箱:cpcw@cpcwi.com

Copyright © 5006-2011 电脑报官方网站 版权所有 渝ICP备500009040号