发现操作员密码验证缺陷
silencer
2010-08-04
前几天看代码时咱们系统验证操作员密码时只是将密码用MD5加密后取摘要和数据库比较。如果我将一个普通用户的密码MD5摘要去覆盖数据库中所有操作员的密码,那么我就可以用任何身份登陆了。用户ID和密码同时取摘要就可以解决此问题。
|
|
sharajava
2010-08-04
没太明白,如何去覆盖?通过程序还是数据库?如果能连接并操作后台的数据库,那不光是什么操作员登录啦,所有数据都被威胁到了呀?
|
|
china_volcano
2010-10-27
楼主莫非是去update数据库。这种比较方式本身就是正确的啊。
|
相关讨论
相关资源推荐
- tipedia:非官方TiDB百科,目标收录所有TiDB开发维护使用过程中可能会碰到的概念配置项其他等等
- php本地环境如果更换版本,弱问 php 如何更换版本?
- python中0x是什么意思_弱问下,以0x开头的数值表示什么意思?
- 弱问JSP中的<%= %>和${ }到底有什么区别?
- python如何停止子线程_弱问python的问题.怎么终止一个子线程
- 如何产生一个随机排列?(弱问)
- matlab 中插入附录,弱问一个在Latex论文模版附录插入Matlab代码的问题 - 数学工具(MathTools)版 - 北大未名BBS...
- php 不恒等,Re: 弱问:Latex里不恒等号(三横一撇) - 精华区 - 数学科学学院(SMS)版 - 北大未名BBS...
- CSDN回帖得分大全(近两年)
- java开发速成班培训课程(14)