用户登录验证安全问题

最新推荐文章于 2021-05-31 15:27:08 发布
最新推荐文章于 2021-05-31 15:27:08 发布
阅读量747 收藏
点赞数
文章标签: user sql

关于登录验证安全问题,用户名和密码使用:1=1 or 1=1;

典型的SQL: <!-- /* Font Definitions */ @font-face {font-family:宋体; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-alt:SimSun; mso-font-charset:134; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:3 135135232 16 0 262145 0;} @font-face {font-family:"/@宋体"; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-charset:134; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:3 135135232 16 0 262145 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-parent:""; margin:0cm; margin-bottom:.0001pt; text-align:justify; text-justify:inter-ideograph; mso-pagination:none; font-size:10.5pt; mso-bidi-font-size:12.0pt; font-family:"Times New Roman"; mso-fareast-font-family:宋体; mso-font-kerning:1.0pt;} /* Page Definitions */ @page {mso-page-border-surround-header:no; mso-page-border-surround-footer:no;} @page Section1 {size:612.0pt 792.0pt; margin:72.0pt 90.0pt 72.0pt 90.0pt; mso-header-margin:36.0pt; mso-footer-margin:36.0pt; mso-paper-source:0;} div.Section1 {page:Section1;} -->   sql="select * from where user= "&user&" and pass= "&pass&" "

为避免: <!-- /* Font Definitions */ @font-face {font-family:宋体; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-alt:SimSun; mso-font-charset:134; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:3 135135232 16 0 262145 0;} @font-face {font-family:"/@宋体"; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-charset:134; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:3 135135232 16 0 262145 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-parent:""; margin:0cm; margin-bottom:.0001pt; text-align:justify; text-justify:inter-ideograph; mso-pagination:none; font-size:10.5pt; mso-bidi-font-size:12.0pt; font-family:"Times New Roman"; mso-fareast-font-family:宋体; mso-font-kerning:1.0pt;} /* Page Definitions */ @page {mso-page-border-surround-header:no; mso-page-border-surround-footer:no;} @page Section1 {size:612.0pt 792.0pt; margin:72.0pt 90.0pt 72.0pt 90.0pt; mso-header-margin:36.0pt; mso-footer-margin:36.0pt; mso-paper-source:0;} div.Section1 {page:Section1;} --> sql="select * from where user= 1 = 1 or 1=1 and pass= 1=1 or 1 = 1 "

<!-- /* Font Definitions */ @font-face {font-family:宋体; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-alt:SimSun; mso-font-charset:134; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:3 135135232 16 0 262145 0;} @font-face {font-family:"/@宋体"; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-charset:134; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:3 135135232 16 0 262145 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-parent:""; margin:0cm; margin-bottom:.0001pt; text-align:justify; text-justify:inter-ideograph; mso-pagination:none; font-size:10.5pt; mso-bidi-font-size:12.0pt; font-family:"Times New Roman"; mso-fareast-font-family:宋体; mso-font-kerning:1.0pt;} /* Page Definitions */ @page {mso-page-border-surround-header:no; mso-page-border-surround-footer:no;} @page Section1 {size:595.3pt 841.9pt; margin:72.0pt 90.0pt 72.0pt 90.0pt; mso-header-margin:42.55pt; mso-footer-margin:49.6pt; mso-paper-source:0; layout-grid:15.6pt;} div.Section1 {page:Section1;} -->

解决方法:
一、函数替代法:
REPLACE 将用户端输入的内容中含有特殊字符进行替换,达到控制目的啊!sql="select * from where user= "&replace(user," "," ")&" and pass= "&replace(pass," "," ")&" "
这种方法每次只能替换一个字符,其实危险的字符不只是" " ,还有如">""<""&""%" 等字符应该全控制起来。但用REPLACE 函数好象不太胜任那怎么办呢??
二、程序控制法
用程序来对客户端输入的内容全部控制起来,这样能全面控制用户端输入的任何可能的危险字符或代码,我就的这个方法!

<%
    捕捉用户端提交的表单内容
    user=request.from("user")
    pass=request.from("pass")
    ...
    循环控制开始
    for i=1 to len(user)
    MID 函数读出变量useri 位置的一个字符
    us=mid(user,i,1)
    将读出的字符进行比较
    if us=" " or us="%" or us="<" or us=">" or us="&" then
    如果含有以上字符将出错提示,不能含有以上特殊字符
    response.redirect "err2.htm"
    response.end
    end if
    next
    ...
    %>  

 

Qying
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
登入验证安全 上(验证码、忘记密码、客户端验证
m0_61506558的博客
08-13 1112
抓包后输入对的验证码后,反复发送査看回包,可以看到,没有出现验证码错误,出现的是用户名不存在,那么这里还出现一个点,用户名爆破,只要输入账号错误和密码错误回显不一样,就可以算成用户名可爆破漏洞。简单来说,验证信息没有进入服务器,直接在前端进行效验,可以通过查看源代码发现验证码是前端验证码,可以通过直接抓包的方式在 bp 里边爆破,首先在一个网站注册一个用户,然后修改这个用户的密码,通过抓取数据包中的参数判断哪里是校验用户,通过修改关键参数,达到任意修改其他用户密码的目的。.........
梦学谷项目总结(上)
weixin_48009560的博客
05-05 197
梦学谷管理系统项目总结(上) 项目简介 这个项目大概包括近10个页面,有用户登录,首页,会员管理,供应商管理,商品管理,员工管理等等。 技术栈 1.Element-UI 2.moment 3.mock.js 4.axios请求 5.Api封装 因为这个项目是小组进行分工协作的 这里就不详细介绍了主要的话就说下我写的地方 首先是登录页面 写这个登录页面的时候用到了token和登录健全,登录健全是为了不让用户在为登录的情况下修改url数据进入下个页面 ...
利用POST进行用户登录安全问题剖析
萧动的专栏
06-05 1万+
POST是一种提交
用户登录锁定验证安全问题
freesindy的专栏
02-21 666
问题: 经过测试,在应用的登录界面,如果账号密码输入错误次数达到三次之后,系统会锁定此账号,直至管理员对账号进行解除锁定。然而此锁定计数并未在服务端进行,而是通过前端JS进行计数,同时超过三次以后,通过JS发起请求数据来锁定此账号。恶意攻击者可以通过截取锁定账号的请求包,进行修改或者丢弃,来达到绕过锁定用户功能的目的。 解决方案: 先判断验证码,再判断用户是否被锁定,再判断用户密码是否正确,都通过了之后,再生成会话session ...
APP的登录认证与安全
Enweitech Software Works
09-11 2万+
一、登录机制 粗略地分析, 登录机制主要分为登录验证登录保持、登出三个部分。登录验证是指客户端提供用户名和密码,向服务器提出登录请求,服务器判断客户端是否可以登录并向客户端确认。 登录认保持是指客户端登录后, 服务器能够分辨出已登录的客户端,并为其持续提供登录权限的服务器。登出是指客户端主动退出登录状态。容易想到的方案是,客户端登录成功后, 服务器为其分配sessionId, 客户端随后每次请...
万能密码:‘or 1=1-- 实战SQL注入,秒破后台
热门推荐
杨明金的博客
10-24 3万+
主要是没有对登录密码的字符串进行参数化和过滤,所以导致网站可以直接用“万能密码”进行突破登录 仅供学习交流 这是某同学做的网站,今天无聊打开了,并帮他进行测试一下 看到这个后台,感觉做的还是不错的,首先SQL注入一般这种“万能密码”在99%的网站都是没有用的了,因为几乎所有发布到网络上的网站都是有进行安全考虑的,像这种学生的学术作品的话,一般不会考虑那么多,所以直接使用万能密码进行登录后台 万能密码:'or 1=1-- 用户名随便输入,密码填写这个,输入验证码,ok,大功告成 直接就.
Python模拟用户登录验证
09-21
总结来说,Python模拟用户登录验证是一种基本的安全实践,它涉及到用户数据的管理、验证机制以及安全策略的实施。通过这种方式,可以保护系统免受恶意用户的攻击,同时提供了一种有效的用户身份验证手段。
java验证AD域用户登录
01-09
8. **性能优化**: 对于大量用户验证,可以考虑缓存已验证用户信息,减少不必要的AD查询,或者采用批量验证策略。 9. **AD域策略和权限**: AD域有其自身的访问控制策略,如密码策略、账户锁定策略等,这些都可能...
java socket查询数据库实现登录验证
04-04
安全性和性能是登录验证系统的重要考虑因素。为了保护用户信息的安全,密码通常需要在客户端进行哈希处理后再发送,服务器端只需验证哈希值,而不要存储明文密码。此外,使用SSL/TLS协议加密Socket连接,可以提高...
php面向对象的用户登录身份验证
10-19
在PHP编程中,面向对象的用户登录身份验证是构建安全Web应用程序的重要环节。这个过程确保只有合法的用户能够访问受保护的网站资源。下面我们将详细探讨这个话题。 首先,我们看到一个`conn.php`文件,它创建了一个...
易语言登录验证
07-19
总结起来,"易语言登录验证"涵盖了界面设计、用户输入处理、数据验证安全策略以及用户交互等多个方面。通过学习这部分知识,开发者不仅可以掌握易语言的基本编程技巧,还能了解到登录验证系统的实现原理和最佳实践...
用户登录具体实现与安全防范
wegoteam的专栏
06-22 630
用户登录具体实现与安全防范 原文地址:【http://www.wegoteam.cn/wego/newdetail.php?id=79】 1.现有技术的缺陷 在用户登录模块,本文将以中国知网(www.cnki.net)为例进行对比分析。登录功能是大多数系统都有的模块,完成功能并不难,但是如何做到安全,这是一个比较难得问题。下图5-1是于2014年5月28号在登录知网时通过浏览器截
基于Token的WEB后台认证机制
weixin_30845171的博客
06-22 4287
几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采...
一个“登录框“引发的安全问题
zhangge3663的博客
05-31 3085
前言 搞安全的小伙伴只有一个登录框你都能测试哪些漏洞? 通常大家测试的都会测试关键部分,为了有更好的测试效果,小厂会提供给你用户名密码;但是一些比较重要的企业,而这个环境却是正式环境,里面存放着一些数据不希望被你看到的时候,是不会提供给你登录账号的。这个时候,考研你基础知识是否扎实的时刻来临了。 用户名枚举 漏洞描述: 存在于系统登录页面,利用登录时输入系统存在的用户名错误密码和不存在的用户名错误密码,返回不同的出错信息可枚举出系统中存在的账号信息。 测试方法: 找到网站或者web系统登
PHP安全编程:记住登录状态的安全做法
编程语言小筑
04-17 370
永久登录指的是在浏览器会话间进行持续验证的机制。换句话说,今天已登录用户明天依然是处于登录状态,即使在多次访问之间的用户会话过期的情况下也是这样。永久登录的存在降低了你的验证机制的安全性,但它增加了可用性。不是在用户每次访问时麻烦用户进行身份验证,而是提供了记住登录的选择。 据我观察,最常见的有缺陷的永久登录方案是将用户名和密码保存在一个cookie中。这样做的诱惑是可以理解的——不需要提示用...
安全验证模块怎样校验用户登录状态
最新发布
09-22
### 回答1: ...综上所述,安全验证模块通过会话验证、Token验证、IP地址验证、双因素验证以及安全策略配置等方式,对用户登录状态进行校验,确保用户的身份和登录状态的有效性,保障系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值