WenGoat实验之Inptoper Error Handling(错误处理不当)- 2016.01.09
2016-01-09 15:39
393 查看
Fail Open Authentication Scheme(打开认证失败方案),有时候我们在服务端接受客户端数据的时候并没有判断这个参数是否存在就对其直接使用,这是很不安全的,因为往往会由于参数的缺少而引发意外的异常,这也是我们对错误处理 不当而导致的(我们应该在对所有可能的错误都判断完之后再给出验证结果,否则存在验证结果为
true吗,但是程序意外出错的情况)。
这个实验中,用户需要绕过认证检查,以用户名 webgoat 登录。其中给出的提示是我们可以不输入密码,但是尝试了几次,即使不输入密码也是报错,后来思考了一下,不输入密码即密码为空,还是被当做参数传过去,难道是去掉密码这个参数,然后服务端在对这个参数进行判断相等等的操作时,由于不存在这个参数而出现错误,进而绕过验证。于是就开启了 Webscarab 对数据拦截,如图 1 去掉了
Password 项,然后提交,果然成功了,如图 2 所示。
图 1
图 2
true吗,但是程序意外出错的情况)。
这个实验中,用户需要绕过认证检查,以用户名 webgoat 登录。其中给出的提示是我们可以不输入密码,但是尝试了几次,即使不输入密码也是报错,后来思考了一下,不输入密码即密码为空,还是被当做参数传过去,难道是去掉密码这个参数,然后服务端在对这个参数进行判断相等等的操作时,由于不存在这个参数而出现错误,进而绕过验证。于是就开启了 Webscarab 对数据拦截,如图 1 去掉了
Password 项,然后提交,果然成功了,如图 2 所示。
图 1
图 2
相关文章推荐
- Linux平台下线程池的原理及实现
- 初窥OpenGL
- linux信号
- linux下IPTABLES配置详解
- linux下基于rsync + find命令实现文件同步机制
- Tweened Animations xml写法——PopupWindow弹出的补充
- 转 Eclipse中启动tomcat 浏览器无法访问8080端口
- debian系统的vps 初步配置
- Tomcat源码阅读之Server.xml文件的处理与Catalina启动流程
- CentOS 6.5系统安装配置LAMP(Apache+PHP5+MySQL)服务器环境
- 运维技能大全 | Devops Tools 周期表
- 安装nginx踩到的坑
- 运维技能大全 | Devops Tools 周期表
- linux下创建eclipse桌面快捷方式
- MySQL mmm 高可用配置
- Xcode 工程文件打开不出来, cannot be opened because the project file cannot be parsed.
- 继承NSOperation类完成能被cancel的耗时操作
- linux常用命令技巧--更新中
- Property 属性动画入门
- ssh信任,scp远程到本地不输密码