攻击访问控制

访问控制漏洞的概念很简单:应用程序允许攻击者访问了或执行了攻击者没有资格访问的资源和操作。历史上出现过酷6网的垂直越权,也出现过虾米网的平行越权。访问控制如果没有设计好,之前设计的验证和会话管理也就没了意义。在更多要求严格的地方,比如军方政府采取了强制访问控制,基于对保密性和完整性的不同考虑分别有BLP和BIBA模型。在web应用程序中,据统计访问控制缺陷影响过71%的应用程序。

一.常见漏洞
1.完全不受保护的功能,直接访问
2.基于标识符的功能
3.多阶段功能设计缺陷
4.静态文件
5.平台配置错误 (根据角色限制URL访问路劲)
6.访问控制方法不佳
1.基于参数的访问控制
2.基于http消息头referer的访问控制
3.基于位置的访问控制

二.攻击访问控制
1.使用不同账户进行测试,比如爬网
2.测试多阶段过程
3.通过有限访问控制权限进行测试
4.测试直接访问方法
5.测试对静态资源的控制
6.测试对http方法实施的限制

三.保障访问控制(多层权限模型)
1.编程控制
2.自主访问控制
3.基于角色的访问控制RBAC
4.声明式控制

发表评论

电子邮件地址不会被公开。 必填项已用*标注