【1分pk10安卓版】越权漏洞 令16万招聘数据曝光

  • 时间:
  • 浏览:3

越权漏洞 令十五万招聘数据曝光

  • 2016/11/29 10:12:26
  • 类型:原创
  • 来源:电脑报
  • 报纸编辑:电脑报
  • 作者:

【电脑报在线】现在收入高的行业很多,汽车工程师绝对算有一另2个多,相关的招聘一定会人头涌动。最近,有黑客发现某车企的招聘系统有安全漏洞,黑客倘若随意修改数字就都不都可不里能 看到十五万人的我人个隐私,这俩 身份证号码、身高、照片等数据。

安全预警

每天一定会新的安全威胁产生,每天一定会电脑遭受攻击,每天让让许多人 都收到所以所以安全求助信。让让许多人 将从有有哪些求助信息中选泽出具有代表性的进行深入的分析和讨论,给出具有通用性质的避免方案。微博求助:http://weibo.com/cdx1983

      现在收入高的行业很多,汽车工程师绝对算有一另2个多,相关的招聘一定会人头涌动。最近,有黑客发现某车企的招聘系统有安全漏洞,黑客倘若随意修改数字就都不都可不里能 看到16万人的我人个隐私,这俩 身份证号码、身高、照片等数据。

技术分析

            白帽子 路人甲:帮让让许多人 选泽一款汽车时,登录了某品牌的官网,无意中看到了旗下的招聘系统网址,http://rec****.***.cn/re****t***t/resume/addresume/person_id/161101/lid/1/job_id/1,你这俩 网址就比较有趣了,person_id代表的是应聘用户的账号,161101因为 用户数量超过16万,因为 地处越权漏洞,那么修改一次161101你这俩 数据,就都不都可不里能 看到有一另2个多用户的应聘数据。经过测试还真的是从前。

      有哪些是越权漏洞?越权漏洞是两种生活常见的低级漏洞,都不都可不里能 那么来理解,有一另2个多正常的用户A通常非要够对我人个的所以信息进行增完整性查,因此因为 进程池池员的一时疏忽,未对信息增完整性查的进行有一另2个多权限的判断,因为 查询该信息的人都不都可不里能 是A,也都不都可不里能 是B,换句话说也本来 允许A用户查询所以所有用户的信息。下面用SQL举例说明一下:

增加内容:insert into tablename values(所以字段) where userid/username=12345/用户名

删除内容:delete from tablename where id=123

更改内容:update 所以字段 tablename set 所以字段 where userid/username=12345/用户名

查询内容:select * from tablename where id=12345

      让让许多人 都不都可不里能 看到,以上一段话都涉及where,而顶端的useridusername即是越权的突破口。在进行数据库请求中往往会带着所以参数来用于辨别信息的唯一值,而有有哪些参数本来 越权的突破口。另外,测试越权一般得有俩号;对useridorderidID要敏感;一旦发现就多测测,多使用抓包工具,多分析数据包,多修改数据包。

            小贴士:觉得越权漏洞也因为 权限管理不善因为 的,所以所以数据库系统、网站管理系统采用硬编码土法律法律依据,地处权限逻辑与业务代码紧密耦合,同去又分散在系统各个地方。系统漏洞势必非常多,因此随着系统不断修改,漏洞逐步增多。

 

泄露我人个隐私

读者点评

@叶晓阳:你这俩 漏洞危害大,任何人都都不都可不里能 当黑客看到别人的隐私数据。

@Simond:服务器端因为 对请求次数做了限制一段话,本来 会造成大面积用户隐私泄露,这俩 指定有一另2个多Cookie请求不同账号的次数非要超过2个,实际上一台电脑不因为 在有一另2个多网站同去注册2个账号的。

本文出自2016-11-28出版的《电脑报》2016年第47期 A.新闻周刊 (网站编辑:pcw2013)

发表给力评论!看新闻,说两句。

匿名 ctrl+enter快捷提交

网站地图 | 版权声明 | 业务商务相互合作 | 感情的一段话的一段话链接 | 关于让让许多人 | 招聘信息

报纸客服电话:2006677866 报纸客服信箱:pcw-advice@vip.sina.com 感情的一段话的一段话链接与商务相互合作:987349267(QQ) 广告与活动:6720009(QQ) 网站联系信箱:cpcw@cpcwi.com

Copyright © 2006-2011 电脑报官方网站 版权所有 渝ICP备20009040号