亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

淺談越權漏洞

發布時間:2020-06-16 02:24:13 來源:網絡 閱讀:14678 作者:eth10 欄目:安全技術

    越權漏洞是一種很常見的邏輯安全漏洞。是由于服務器端對客戶提出的數據操作請求過分信任,忽略了對該用戶操作權限的判定,導致修改相關參數就可以擁有了其他賬戶的增、刪、查、改功能,從而導致越權漏洞。

1、 分類

    根據對數據庫的操作進行分類,可以分為以下幾類:越權查詢、越權刪除、越權修改、越權添加等。

    根據維度進行分類,可分為:平行越權、垂直越權、交叉越權。

    平行越權:權限類型不變,權限ID改變;如:同是普通用戶,其中一個用戶可查看其它用戶信息。常見的就是通過修改某一個ID參數來查看其他用戶的信息,比如你查看自己的信息時,發現URL連接中,或者http請求頭中有一個userID的參數,然后你修改這個參數就可以查看那個人信息了!

    垂直越權:權限ID不變,權限類型改變;如普通用戶可使用管理員權限進行操作。如你登錄時,發現cookie中有一個roleID的角色參數,那么可以通過修改該ID為1或者0,根據具體情況來定,就可以使用管理員權限了!

    交叉越權:權限類型改變,權限ID也改變。

2、 越權漏洞危害

    越權漏洞的危害與影響主要是與對應業務的重要性相關,比如說某一頁面服務器端響應(不局限于頁面返回的信息,有時信息在響應包中,頁面不一定能看見)中返回登錄名、登錄密碼、手機號、×××等敏感信息,如果存在平行越權,通過對用戶ID的遍歷,就可以查看所有用戶的敏感信息,這也是一種變相的***,而且很難被防火墻發現,因為這和正常的訪問請求沒有什么區別,也不會包含特殊字符,具有十足的隱秘性。

3、如何檢測越權漏洞

    最簡單的一種檢測方式是,首先是通過定位鑒權參數,然后替換為其他賬戶鑒權參數的方法來發現越權漏洞。

4、 越權漏洞修復方案

    1、基礎安全架構,完善用戶權限體系。要知道哪些數據對于哪些用戶,哪些數據不應該由哪些用戶操作;

    2、鑒權,服務端對請求的數據和當前用戶身份做校驗;

    3、不要直接使用對象的實名或關鍵字。

    4、對于可控參數進行嚴格的檢查與過濾!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

宁城县| 凉山| 水城县| 寿阳县| 庆城县| 中宁县| 德钦县| 兰考县| 民丰县| 龙口市| 海城市| 武隆县| 屯门区| 宁阳县| 南开区| 年辖:市辖区| 三明市| 丰都县| 乌兰县| 武夷山市| 昌宁县| 比如县| 民乐县| 手游| 喀什市| 西乡县| 晋宁县| 紫阳县| 田林县| 绥宁县| 江都市| 利辛县| 武邑县| 葵青区| 中方县| 呼玛县| 黄大仙区| 莱芜市| 肃宁县| 琼海市| 融水|