八、利用访问控制系统中的漏洞
由于4.1.x版本之前版本没有实现视图,因此也就没有记录级别的安全机制。对于某些用户来说,这可能是一个问题,并且在有些情况下缺少可用的安全配置,所以它们最好选择更高版本。举例来说,假设一个数据仓储系统使用MySQL用户来确定哪些用户可以执行哪些动作,该用户通常想要做的事情之一就是更改他们的口令,所以该软件使用了一个表单查询实现了该功能:
现在假设入库脚本存在被可以替换参数中的用户名的用户的攻击的弱点,对于带有记录级别安全控制机制的系统来说,攻击者仍然无法改变另一个用户的密码,因为他只有更新自己数据的权限。由于4.1.x版本及其之前版本的MySQL数据库管理系统没有实现记录级别的安全机制,因此每一用户毫无疑问都能更新所有其他用户的密码,这将导致非常严重的安全问题。
http://www.htsjk.com/shujukuaq/16813.html
www.htsjk.Com
true
http://www.htsjk.com/shujukuaq/16813.html
NewsArticle
八、利用访问控制系统中的漏洞 由于4.1.x版本之前版本没有实现视图,因此也就没有记录级别的安全机制。对于某些用户来说,这可能是一个问题,并且在...
本站文章为和通数据库网友分享或者投稿,欢迎任何形式的转载,但请务必注明出处.
同时文章内容如有侵犯了您的权益,请联系QQ:970679559,我们会在尽快处理。