0
최근에 웹에 게시 된 Filemaker 데이터베이스 응용 프로그램의 데이터 무결성 문제를 해결하기 위해 노력했습니다.Filemaker Web Publishing 및 데이터 무결성
이 응용 프로그램은 일련의 견해를 통해 구직 신청자 데이터를 수집합니다. 소수의 사용자로부터 응용 프로그램을 사용하는 동안 다른 응용 프로그램의 데이터를 보면서 응용 프로그램을 탐색하는보고가있었습니다. 이러한 사용자가 모두 세션 시간 초과 임계 값을 초과 한 다음 다른 사람의 데이터가 양식에 공개 된 것처럼 보입니다.
나는 그것이 브라우저 세션과 앱 사이에서 볼 수있는 유일한 링크이기 때문에 생성되는 JSESSIONID 쿠키를보고 있습니다. JSESSIONID 쿠키는 과거에 만료되도록 설정되었으며 "세션"유형입니다.
JSESSIONID 값도 매우 유사하게 보입니다.
02442D0AA37DEF0512674E8C
02442D09A38288D712674E8E
사람이 파일 메이커 애플 리케이션과 유사한 문제를 경험 한 웹에 게시 : 여기에 응용 프로그램을 테스트 할 때 내가받은 두 JSESSIONIDS은?
JSESSIONID와 Filemaker 11의 관계 외에도 다른 부분이 필요합니까? 다시 말해, 누구나 알고있는 Filemaker Web Publishing 엔진에 대한 다른 보안 취약점이 있습니까? 감사와
,
Slinky66
죄송합니다. Filemaker가 클라이언트 브라우저의 JSESSIONID 쿠키 값을 데이터베이스의 레코드와 연관시키는 데 사용되는 연결 고리가 있어야하며 이것이 내가 이해하려고 시도한 것입니다. 또한, jsessionids 정말 비슷하지만 jsessionid 생성 된 메서드를 generateSessionId() (http://www.docjar.com/html/api/org/apache/catalina/session/ManagerBase.java.html# 983) 무작위 문자열을 생성합니다. – Slinky
예, 맞습니다. 거기에 간접적 인 단계가 있지만 Tomcat (FileMaker가 아닌)은 JSESSIONID 쿠키를 메모리 내 세션 객체와 관련시킵니다. 그런 다음 FileMaker는 해당 세션 개체에서 읽고 씁니다. 볼 수있는 원인이되는 버그가있을 수 있습니다. –