我用我的个人 CMS 开发了 4 个新闻机构网站。
现在,我有问题,有人可以删除我的新闻和数据库中的其他一些记录,我是
确保它不是sql注入,因为我的表名和我的长表名前缀。
无论如何,是否有可能某些身体注入会话并登录到站点的管理端?
问问题
991 次
2 回答
4
许多注入技术不依赖于知道您的表名。除了虽然晦涩但只是安全性这一事实之外,最简单的是OR 1=1注入技巧,使您的密码检查WHERE始终返回 true(这是一个简化的过程)
如您所见,不需要表名。使用这个技巧,一个人可以以任何人的身份登录,所以这可能是您所说的臭名昭著的“会话窃取”。
我相信这比窃取实际的 PHP 会话更容易完成,因为最后你可能需要访问实际的服务器。除非您在其中包括cookie窃取:有人复制您的 cookie 并让自己成为您。取决于您的登录如何绑定到 cookie -> 如果系统从 cookie 数据进行新的有效会话,那么您可能会遇到问题。如何偷一块饼干?好吧,客户端可以读取它自己的 cookie,因此一个简单的 XSS(攻击者可以让您查看一些代码)可能会让您不情愿地读取您的 cookie 并将其发布到某个地方。
底线是
- 你不注射的原因是错误的,你真的应该考虑一下。
- 是的,会话窃取是可能的,甚至很容易,具体取决于您如何定义它。
- 不,会话窃取似乎不是我要检查的第一个原因,但话又说回来,我们对您的代码一无所知。
于 2013-09-03T06:28:46.310 回答
2
确保它不是
sql注入,因为我的表名和我的长表名前缀。
我不会特别确定这不是因为两个原因:
- 这肯定不是因为你给出的原因。
- 你确信虽然众所周知是错误的,但你会得出这样的结论:你犯了许多严重的错误,这极大地增加了你所犯错误的风险因素。
这种组合通常很容易为 SQL 注入打开代码。与之比较:
如本材料所示,它通常与表名和长表名前缀无关。
无论如何,是否有可能某些身体注入会话并登录到站点的管理端?
是的,这也是可能的。您需要防止会话固定和会话数据注入(例如,防止篡改文件系统/会话存储中的数据)。
按照您的要求,我建议您与一些更有安全经验的开发人员联系,让他对您的代码库进行审查。安全性是一个过程,四只眼睛通常会看到两个以上例如,虽然您仍然认为表名会阻止 SQL 注入,但它只是默默无闻的安全性。
于 2013-09-03T06:21:43.070 回答