0
디버그 모드 액세스 요청을 볼 때와 같이 % USER-Password 값을 어떻게 변경할 수 있습니까? 이 같은디버그 모드에서 사용자 암호가 다르게 보이고 SQL에 삽입되는 이유
디버그 모드 : "사용자 암호 ="2ixxigux + ""
과 같이 SQL에 삽입 :
"[SQL] 확장 : % {사용자 암호} -> 2ixxigux = 2B "
감사
A
답변
0
는 SQL 모듈 만 SQL 쿼리에 대한 대체 값 제한된 문자 세트를 허용한다. FreeRADIUS v4.0.x (미공개 13/09/17)는 SQL 라이브러리가 escape 함수를 제공하면 함수가 대신 호출된다는 점에서 약간 더 좋습니다.
이 경우 값이 다른 이유는 '+'가 기본 안전 문자 목록에 없기 때문에 이스케이프 처리되어 있기 때문입니다 (형식).
safe_characters 구성 항목을 raddb/mods-available/sql으로 변경하면 here을 참조하십시오. SQL 삽입 공격에 사용할 수있는 문자를 허용하지 않도록주의하십시오.
freeradius에 대해 잘 아는 사람으로서 나는 무엇이 요청되는지 이해하지 못하기 때문에 불분명하게 표시합니다. –