URL用戶訪問的敏感功能和數(shù)據(jù)

2022-06-01    分類: 網(wǎng)站建設(shè)

在許多的訪問控制下不完善情況下,敏感功能和數(shù)據(jù)可被任何知道相關(guān)URL的用戶訪問。比如在許多應(yīng)用程序中,任何人只需訪問一個特定的URL就能夠完全控制它的管理功能:
https://wahh-app.com/admin/
在這種情況下,應(yīng)用程序通常僅實施如下訪問控制:以管理員的身份登錄的用戶在他們的用戶界面上看到一給該URL的鏈接,而其他用戶無法看到這個鏈接。這種細(xì)微的差別是應(yīng)用程序用于“防止”敏感功能被未授權(quán)使用的唯一機(jī)制。
有時候,允許用戶訪問強(qiáng)大的功能的URL可能很難猜測,相當(dāng)隱蔽,這種情況下,開發(fā)者假設(shè)攻擊者無法知道或發(fā)行這個URL,管理功能就會因此受到保護(hù)。
一些應(yīng)用程序的敏感功能隱藏在各種不太同意猜測的URL之后,但攻擊者通過仔細(xì)檢查客戶端代碼還是可以發(fā)現(xiàn)這些URL。許多應(yīng)用程序使用JavaScript在客戶端動態(tài)建立用戶界面。它一般建立各種與用戶狀態(tài)有關(guān)的標(biāo)記,然后根據(jù)這些標(biāo)記在用戶界面中增加不同的元素。
如果其他功能不由Web應(yīng)用程序客戶端直接調(diào)用,這些功能也可以調(diào)用,并不受任何控制的保護(hù)。一般情況下,用戶只需能夠訪問某些特定的方法,但他們卻擁有范圍所有的權(quán)限。

本文標(biāo)題:URL用戶訪問的敏感功能和數(shù)據(jù)
文章路徑:http://www.muchs.cn/news25/162075.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站制作、網(wǎng)站收錄小程序開發(fā)、企業(yè)網(wǎng)站制作動態(tài)網(wǎng)站、ChatGPT

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

商城網(wǎng)站建設(shè)