【快3走势图】越权漏洞 令16万招聘数据曝光

  • 时间:
  • 浏览:0
  • 来源:彩神APP下载-彩神APP官方

越权漏洞 令30万招聘数据曝光

  • 2016/11/29 10:12:26
  • 类型:原创
  • 来源:电脑报
  • 报纸编辑:电脑报
  • 作者:

【电脑报在线】现在收入高的行业太满,汽车工程师绝对算另2个,相关的招聘全是人头涌动。最近,有黑客发现某车企的招聘系统有安全漏洞,黑客后来随意修改数字就都里能就看30万人的被委托人隐私,类式身份证号码、身高、照片等数据。

安全预警

每天全是新的安全威胁产生,每天全是电脑遭受攻击,每天你们都收到后来安全求助信。你们将从哪些求助信息中选择出具有代表性的进行深入的分析和讨论,给出具有通用性质的外理方案。微博求助:http://weibo.com/cdx1983

      现在收入高的行业太满,汽车工程师绝对算另2个,相关的招聘全是人头涌动。最近,有黑客发现某车企的招聘系统有安全漏洞,黑客后来随意修改数字就都里能就看16万人的被委托人隐私,类式身份证号码、身高、照片等数据。

技术分析

            白帽子 路人甲:帮你们选择一款汽车时,登录了某品牌的官网,无意中就看了旗下的招聘系统网址,http://rec****.***.cn/re****t***t/resume/addresume/person_id/161101/lid/1/job_id/1,这些 网址就比较有趣了,person_id代表的是应聘用户的账号,161101意味着着分析用户数量超过16万,这些 趋于稳定越权漏洞,这么修改一次161101这些 数据,就都里能就看另2个用户的应聘数据。经过测试还真的是另2个。

      哪些是越权漏洞?越权漏洞是三种常见的低级漏洞,都里能这么来理解,另2个正常的用户A通常这么够对被委托人的这些 信息进行增删剪查,这些 这些 应用应用程序员的一时疏忽,未对信息增删剪查的进行另2个权限的判断,意味着着分析查询该信息的人都里能是A,也都里能是B,换句话说也后来我允许A用户查询这些 所有用户的信息。下面用SQL举例说明一下:

增加内容:insert into tablename values(这些 字段) where userid/username=12345/用户名

删除内容:delete from tablename where id=123

更改内容:update 这些 字段 tablename set 这些 字段 where userid/username=12345/用户名

查询内容:select * from tablename where id=12345

      你们都里能就看,以上语句都涉及where,而后面 的useridusername即是越权的突破口。在进行数据库请求中往往会带着这些 参数来用于辨别信息的唯一值,而哪些参数后来我越权的突破口。另外,测试越权一般得有俩号;对useridorderidID要敏感;一旦发现就多测测,多使用抓包工具,多分析数据包,多修改数据包。

            小贴士:随便说说越权漏洞也是这些 权限管理不善意味着着分析的,后来数据库系统、网站管理系统采用硬编码辦法 ,趋于稳定权限逻辑与业务代码紧密耦合,一起去又分散在系统各个地方。系统漏洞势必非常多,这些 随着系统不断修改,漏洞逐步增多。

 

泄露被委托人隐私

读者点评

@叶晓阳:这些 漏洞危害大,任何人都都里能当黑客就看别人的隐私数据。

@Simond:服务器端这些 对请求次数做了限制语句,后来我会造成大面积用户隐私泄露,类式指定另2个Cookie请求不同账号的次数这么超过十个 ,实际上一台电脑不这些 在另2个网站一起去注册十个 账号的。

本文出自2016-11-28出版的《电脑报》2016年第47期 A.新闻周刊 (网站编辑:pcw2013)

发表给力评论!看新闻,说两句。

匿名 ctrl+enter快捷提交

网站地图 | 版权声明 | 业务媒体媒体合作 | 夫妻夫妻感情链接 | 关于你们 | 招聘信息

报纸客服电话:306677866 报纸客服信箱:pcw-advice@vip.sina.com 夫妻夫妻感情链接与媒体媒体合作:987349267(QQ) 广告与活动:67309(QQ) 网站联系信箱:cpcw@cpcwi.com

Copyright © 306-2011 电脑报官方网站 版权所有 渝ICP备309040号