电脑资料
当前位置:资料库>电脑资料>
我要投稿 投诉建议

关于条形码的xss/sql inj等等脚本安全 -电脑资料

电脑资料 时间:2019-01-01 我要投稿
【www.unjs.com - 电脑资料】

   

    之前看到国外几篇文章都在写这个,还有一个Paper,忘记放哪了,

关于条形码的xss/sql inj等等脚本安全

    然后看到鬼的:http://www.woyigui.cn/barcode-xss/

    mr_xhming的:

    都在说这个,前段时间我也在xeye群内描述了条形码攻击的应用,这里也再提提吧。

    说实话除了条形码本身外,几乎没啥新颖的,这里的输入点就是条形码识读器。输入的内容就是条形码,然后在后端(计算机内)进行解码条形码的内容。

    ​

    这样会形成什么样的攻击?因为现在很多物流管理系统啥的,包括超市里的(那个刷条形码标签的识读器),如果后端使用web管理,那么输出解码后的条形码内容就有可能因为过滤不严导致发生xss等攻击,

电脑资料

关于条形码的xss/sql inj等等脚本安全》(https://www.unjs.com)。后端管理一般是有数据库的,输入的内容应该是条形码的解码内容,故有可能发生sql注入。

    这里可以将条形码当做一种加密方式,加密的内容就是这些xss/sql inj等片段。

    不过这样的攻击是有缺陷的,比如一维条形码输入的长度限制,而且我不知道现实中如何有效发起这样的攻击,除了内鬼...比如某人的一个截图:

   

    但是还是没看到实际的攻击,还有生成器:

   

    在物流管理中如果使用无源的RFID取代条形码,那么同样也会出现RFID的xss/sql inj等,但是RFID不太可能取代条形码,除非价格很低……

    作为输入点,RFID的攻击会酷多了,而且机会应该也会多很多!

免费领课
打印
立即下载
复制全文
相关文章
立即下载
热搜文章
最新文章
推荐文章

Copyright©2006-2024 优文网 unjs.com 版权所有 手机版 联系我们举报中心网络辟谣

   

    之前看到国外几篇文章都在写这个,还有一个Paper,忘记放哪了,

关于条形码的xss/sql inj等等脚本安全

    然后看到鬼的:http://www.woyigui.cn/barcode-xss/

    mr_xhming的:

    都在说这个,前段时间我也在xeye群内描述了条形码攻击的应用,这里也再提提吧。

    说实话除了条形码本身外,几乎没啥新颖的,这里的输入点就是条形码识读器。输入的内容就是条形码,然后在后端(计算机内)进行解码条形码的内容。

    ​

    这样会形成什么样的攻击?因为现在很多物流管理系统啥的,包括超市里的(那个刷条形码标签的识读器),如果后端使用web管理,那么输出解码后的条形码内容就有可能因为过滤不严导致发生xss等攻击,

电脑资料

关于条形码的xss/sql inj等等脚本安全》(https://www.unjs.com)。后端管理一般是有数据库的,输入的内容应该是条形码的解码内容,故有可能发生sql注入。

    这里可以将条形码当做一种加密方式,加密的内容就是这些xss/sql inj等片段。

    不过这样的攻击是有缺陷的,比如一维条形码输入的长度限制,而且我不知道现实中如何有效发起这样的攻击,除了内鬼...比如某人的一个截图:

   

    但是还是没看到实际的攻击,还有生成器:

   

    在物流管理中如果使用无源的RFID取代条形码,那么同样也会出现RFID的xss/sql inj等,但是RFID不太可能取代条形码,除非价格很低……

    作为输入点,RFID的攻击会酷多了,而且机会应该也会多很多!