原标题:DevCore顾问蔡政达揭露不同软件处理字元差异,骇客能借此存取网站重要资料
图片来源:周峻佑
一般来说,对于系统弱点的控管,我们可能都会从个别软件下手,而软件开发厂商也只集中留意自己推出的产品中,是否出现能够被拿来利用的弱点,然而,随着实务上多种软件的搭配运用,不同软件之间的字元处理方式的差异,骇客可能得以长驱直入。戴夫寇尔(DevCore)顾问蔡政达在今年的HITCON△#14大会上指出,利用Apache、Nginx、Tomcat等网站伺服器的常用软件中,对于特殊字元识别方式的不同,便能借此找到管理后台登入页面,或是存放密码的档案等,呼吁网站管理者要采取较为严谨的做法,像是隔离后台应用程序、管理主控台,并且检查代理伺服器和后台伺服器之间的互动行为。
为了要让多种软件之间的能够协同运作,人们采取了共通的标准,借此能够得以保护这些软件,在搭配运作时,不致产生问题。然而,蔡政达表示,虽然这样的措施确实达到了上述的目的,但还是仍有其不一致的地方。加上现在讲求快速开发,同样的问题也会随着程式码被沿用,而在更多系统上出现。
iThome△Security
相关:
【Google Cloud Next18】无伺服器NoSQL云端资料库Firestore将向后相容Datastore
将于今秋问世的Cloud△Services△Platform,无伺服器服务作为支援该混合云解决方案的重要部分,Google除了释出无伺服器工作负载管理平台Knative,同时也强化了PaaS平台App△Engine与事件驱动无伺服器运算平台Cloud△
【Google Cloud Next18】Cloud Bigtable以热区图找出资料库效能瓶颈,区域复制正式可用
Key△Visualizer提供使用者通过热区图观察资料库随时间变化的存取模式 Google在Cloud△Next中,除了发表许多新的产品外,原有的GCP产品也持续更新增添新功能,资料库服务方面,BigQuery就内建了机器学习推出BigQue
小米 9 号平衡车改装套件GOKART KIT 售价+发售日期资料 | 香港 UNWIRE.HK 玩生活.乐科技
小米今日正式发表九号平衡车卡丁改装套件–GOKART KIT ,小米旗下的智能短途代步工具生产商 Segway-Ninebot 在今日于中国北京举行新产品体验会。有了这改装套件,用户便可以轻易把小米 9 号平衡车改装成卡丁车,
【Google Cloud Next18】:BigQuery新增多项功能,资料仓储内机器学习BigQuery ML为最大亮点
Google在今年Cloud△Next宣布,于原本的分析资料仓储BigQuery服务加上机器学习,推出BigQuery△ML新功能,资料科学家或是分析师,可以使用简单的SQL语法,直接以BigQuery中大量的结构与半结构化资料,建置与部署机器
当心! Oracle WebLogic 重大漏洞已遭骇客开采
甲骨文的WebLogic△Server软件一项远端程式码执行重大漏洞,近日遭到至少2组骇客开采,安全公司呼吁应尽速修补。编号为CVE-2018-2893的漏洞出现在Oracle△WebLogic△Fusion△Middeleware中的WebLogic△Server,受影响