0
我們的網站用戶神祕地以其他用戶身份登錄時遇到間歇性問題。該網站建立在Concrete5 5.6.3.4版本上。這似乎是一個巨大的安全缺陷,因爲我們正在顯示私人和敏感數據,並允許現場信用卡購買。Concrete5 5.6.3.4用戶以錯誤用戶身份登錄
A
回答
0
該網站實施永久性Cookie,似乎是導致問題。根據this,用於cookie的散列的衝突率約爲8%。該頁面鏈接中的修補程序似乎可以緩解該問題,但不能完全消除該問題。
第二個補丁嘗試將用戶標識添加到標識以使其唯一併消除碰撞風險。似乎應該是這樣的:
public function getString($length = 12) {
$str = str_repeat($this->letters, 10);
- $hash = substr(str_shuffle($str), 0, $length);
+ $user = new User();
+ if($user->getUserID()) {
+ $hash = sprintf("%i:%s, $user->getUid(), substr(str_shuffle($str), 0, $length));
+ } else {
+ $hash = sprintf("%s%i:%s", substr(str_shuffle($str), 0, $length), mt_rand(999,9999), substr(str_shuffle($str), 0, $length));
相關問題
- 1. 用戶以錯誤用戶身份登錄
- 2. 客戶以用戶身份登錄
- 3. Django以匿名用戶身份登錄?
- 4. Firebase以其他用戶身份登錄
- 5. ASP.NET會員以用戶身份登錄
- 6. 如何以p4用戶身份登錄
- 7. 以Ejabberd用戶身份登錄
- 8. 以登錄用戶身份運行cronjob
- 9. 以不同的用戶身份登錄ASP.MVC不會改變用戶身份
- 10. '以其他用戶身份登錄'MVC 4 Windows身份驗證
- 11. C#登錄用戶並以用戶身份運行
- 12. CAS:用戶以其他用戶身份登錄
- 13. 用戶以不同的Facebook用戶身份登錄
- 14. 用戶以不同的用戶身份自動登錄
- 15. Facebook以drupal用戶身份登錄用戶
- 16. 用戶似乎以另一個用戶身份登錄
- 17. 以登錄用戶身份登錄文件
- 18. 集成的Windows身份驗證顯示錯誤登錄用戶
- 19. 身份登錄後的用戶.net 4.5
- 20. Laravel登錄其他用戶身份
- 21. Passport.js用戶登錄和身份驗證
- 22. asp.net身份multipe用戶登錄
- 23. apppool身份與登錄用戶
- 24. 使用MVC.NET和Windows身份驗證以其他用戶身份登錄?
- 25. 以用戶身份登錄,獲得備用安全身份憑證
- 26. 使用集成Windows身份驗證時以不同用戶身份登錄
- 27. pgadmin4允許以管理員身份登錄的用戶密碼錯誤
- 28. 當我嘗試以用戶身份登錄時在mixin中出現錯誤
- 29. WSO2 IS 5.0.0錯誤拋出,然後以鎖定用戶身份登錄
- 30. 爲什麼非dba用戶可以以sysdba身份登錄?