کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن
خرید کریو خرید وی پی ان خرید VPN خرید فیلترشکن
به عنوان مثال، فرض کنید که من برنامه ای دارم که شامل یک لینک برای استفاده از گفت و گو فید فیس بوک است، به عنوان مثال:
https://www.facebook.com/dialog/feed؟app_id=xxxxx&link=
به این معنی است که شناسه فیس بوک به خارج نشان داده می شود. سوال من این است که آیا فیس بوک / گوگل app ID یک خطر امنیتی است؟
نوع استدلال در اینجا باید در تزریق SQL نقش نداشته باشد و سپس این که چگونه پرس و جو SQL در وهله اول شکل گرفته است.
SQL injection سوء استفاده SQL Query که از پارامتر به عنوان یک رشته ایجاد شده است. وب سرور تمام نشانی اینترنتی را به عنوان یک متن پردازش می کند و تمام پارامترها را به عنوان رشته نیز تجزیه می کند. بنابراین حتی زمانی که عدد عددی مانند 1 است، آن را توسط یک سرور وب به عنوان رشته و کد در نظر گرفته می شود و سپس آن را به عنوان یک رشته وارد می کند. این اجازه می دهد تا شما را به وارد کردن کاراکتر های خاص، که ممکن است اگر تنها اعداد مجاز بود ممکن است.
با این حال، ممکن است در پرس و جو SQL وجود دارد. هنگام استفاده از رشته در یک پرس و جو SQL، رشته باید در نقل قول ها ' محصور شود. اعداد می توانند، اما لازم نیست.
شماره: SELECT * از آزمون WHERE id = $ NUMBER؛
String: SELECT * FROM Test WHERE id = '$ TEXT؛'؛
هنگامی که یک رشته در نقل قول بسته است، ابتدا باید ابتدا قاعده را ببندید. بنابراین برای مثال شما می توانید A 'ارسال کنید؛ DROP TABLES *؛ - که به شما می دهد:
SELECT * از تست WHERE id = 'A'؛ جداول قطره *؛ - '.
شما می توانید "پایان دادن به اولین" را ببینید، به طوری که دستور DROP TABLES *؛ به عنوان یک فرمان و نه به عنوان متن در نظر گرفته می شود. – برای نظر در SQL استفاده می شود و در اینجا از آن برای خلاص شدن از بسته شدن ' استفاده می کنیم. در غیر این صورت، یک query SQL نادرست ایجاد می شود.
لطفا توجه داشته باشید که اعداد همچنین می توانند از نقل قول در پرس و جو استفاده کنند، بنابراین با استفاده از این روش فرار ممکن است مفید باشد حتی اگر سایت فقط از اعداد در پارامتر. همچنین، بسته به موتور SQL، انواع دیگر نقل قولها و سپس نقل قول های تک، مانند نقل قول های دوگانه ممکن است قابل استفاده باشد، که می تواند چگونگی فرار از آنها را تغییر دهد.
من راه حل client-IAM را با استفاده از WSO2 Identity Server 4.5.1 راه اندازی می کنم. یکی از (چند) برنامه های کاربردی که با من از طریق Open ID ارتباط برقرار می کنند، یک رفتار غیرمنتظره را کشف کرده اند، و اگر برای رفتار Open Id Connect مناسب است یا اگر محصول اشتباه رفتار می کند، نیاز به کمک دارد.
هنگامی که کاربر تأیید هویت می کند، شناسه شناسایی و مجوز-کد بازگردانده می شود. ID_Token شامل تمام ویژگی های کاربر و نقش های قابل اجرا است، و بنابراین نقطه پایانی Userinfo اگر درخواست پس از رونویسی کد رد و بدل شود. یک دوره زمانی که برنامه میخواهد جلسه خود را تازه کند و کاربر را به OP بازگرداند تا یک شناسه جدید شناسایی کند. این کار می کند، اما به دلایلی، ID-Token (و نقطه پایانی Userinfo) فقط "زیر" را در این رویکرد دوم به نمایش می گذارد.
Q: آیا این کار چگونه OIDC قرار است کار کند؟
از شما متشکرم .
PS.
رفتار عجیب دیگر که متوجه شدم (ممکن است به نوعی مرتبط با آن باشد) این است که access_tokens که در طول مبادله کد ایجاد شده برای این برنامه طول عمر 300.000 ثانیه را دارد. بیش از آنچه که من تنظیم کرده ام (هر جا!). هنگامی که access_tokens از طریق کمک ضمنی ارائه می شود اتفاق نمی افتد. من نمیتوانم دلیل دلیلی برای این اتفاق بیافتم، اما اگر وجود داشته باشد، خوشحال خواهم شد که آن را بشنوم.
DS
