问题描述
大多数具有健全安全标准的应用程序都会在数据库中散列密码,这样在黑客被授予访问服务器数据库的权限的情况下,可能无法推断出明文密码。但是,如果攻击者被授予服务器的管理员权限,他是否能够:
- 暂停正在执行的程序。
- 在通过 HTTPS 请求获得的密码临时存储在内存中的语言环境中,将打印语句注入到程序的源代码中。
- 重新启动程序 - 从客户端输入敏感信息后,敏感(未散列)信息现在将打印到控制台。
因此,假设攻击者已被授予访问我的服务器的权限,难道他现在可以使用这种技术提取敏感信息吗?是否有任何广泛使用的安全协议来防止这种情况发生?在生产服务器上编译代码并在另一台机器上保持源代码的安全是否有帮助?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)