АНТИПАТТЕРН: ХРАНЕНИЕ ПАРОЛЕЙ В ОТКРЫТОЙ ТЕКСТОВОЙ ФОРМЕ

Частая ошибка в подобных способах восстановления пароля заключается в том, что положение позволяет пользователю запрашивать электронное письмо, содержащее пароль в текстовом виде. Эта огромная трещина в безопасности связана с проектированием базы данных, она подвергает определенному риску безопасность приложения, позволяя неавторизованным пользователям получать привилегированный доступ к приложению.

Хранение паролей

Пароль, как правило, сохраняется в таблице Accounts в столбце атрибутов строки:

Файл примера: Passwords/anti/create-table.sql CREATE TABLE Accounts ( account_id SERIAL PRIMARY KEY, account_name VARCHAR(20) NOT NULL, email VARCHAR (100) NOT NULL, password VARCHAR(30) NOT NULL

) ;

Вы можете создать учетную запись, просто добавив одну строку и определив пароль как литерал строки:

Файл примера: Passwords/anti/insert-plaintext.sql

INSERT INTO Accounts (account_id, account_name, email, password) VALUES (123, ‘billkarwin’ , ‘bill@example.com’ , ‘xyzzy’ );

Небезопасно хранить пароль в открытом текстовом виде, равно как и передавать его по сети. Если недоброжелатель может прочесть SQL-оператор, который вы используете, чтобы вставлять пароль, он может ясно увидеть пароль. Это также относится к SQL-операторам, с помощью которых производится смена пароля или проверка соответствия ввода пользователя с сохраненным паролем. У взломщиков есть несколько возможностей украсть пароли, включая следующие.

• Прерывание отправки пакетов, когда SQL-оператор отправляет их от клиента приложения на сервер базы данных. Это более просто, чем звучит; существуют бесплатные программные инструменты, например Wireshark1.

• Поиск журнала SQL-запросов на сервере базы данных. Взломщик должен войти на хост сервера базы данных, после того, как он это сделает, он может получить доступ к журналам событий, которые могут содержать записи об SQL-операторах, выполняемых данным сервером базы данных.

• Чтение данных из резервных копий базы данных на сервере или на носителе резервных копий. Ваши носители резервных копий хранятся в безопасности? Вы уничтожаете безвозвратно данные с ваших носителей перед переработкой или перенесением для других целей.

01.01.2012

Добавить страницу в мои закладки:

Смотрите также:
Оставить отзыв

Подтвердите, что Вы не бот — выберите самый большой кружок:

Какую позицию должна занять Россия в отношении ДНР и ЛНР?

Loading ... Loading ...

Архив опросов

Отзывов на сайте: 12134
Вчера: 12. Сегодня: 8