Web應(yīng)用程序平臺(tái)配置的錯(cuò)誤

2022-05-26    分類: 網(wǎng)站建設(shè)

成都網(wǎng)站建設(shè)公司在進(jìn)行網(wǎng)站設(shè)計(jì)過(guò)程中一些應(yīng)用程序在Web服務(wù)器或應(yīng)用程序平臺(tái)層使用控件控制訪問(wèn)。通常,應(yīng)用程序會(huì)根據(jù)用戶的角色來(lái)限制對(duì)特定URL路徑的訪問(wèn)。例如,在用戶不屬于“管理員”組,訪問(wèn)/admin路徑的情趣可能會(huì)遇到拒絕,原則上,這是完全符合合法的訪問(wèn)控制方法。但是,在配置平臺(tái)級(jí)控件時(shí)發(fā)現(xiàn)錯(cuò)誤,這時(shí)可能導(dǎo)致未授權(quán)訪問(wèn)。
正常情情況下,平臺(tái)級(jí)配置與防火墻策略類似,它們基于以下允許或拒絕訪問(wèn)請(qǐng)求:
 *HTTP請(qǐng)求方法;
 *URL路徑;
 *用戶角色。
GET方法的最初目的是檢索信息,而POST方法的目的是執(zhí)行更改應(yīng)用程序的數(shù)據(jù)或狀態(tài)的操作。
由于大多數(shù)用于檢索請(qǐng)求參數(shù)的應(yīng)用程序級(jí)API對(duì)于方法提交并無(wú)限制,以基于正確的HTTP方法和URL路徑允許訪問(wèn),就可能會(huì)導(dǎo)致未授權(quán)訪問(wèn),因此,攻擊者只需在GET要請(qǐng)求的URL查詢字符串提供所需參數(shù),就可以未授權(quán)使用功能。
即使平臺(tái)級(jí)規(guī)則拒絕訪問(wèn)GET和POST方法,應(yīng)用程序仍然有可能受到攻擊。根據(jù)規(guī)范,服務(wù)器應(yīng)使用它們用于響應(yīng)對(duì)應(yīng)的GET請(qǐng)求的相同消息頭來(lái)響應(yīng)HEAD請(qǐng)求。因此,大多數(shù)平臺(tái)都能夠正確處理HEAD請(qǐng)求,即執(zhí)行對(duì)應(yīng)的GET處理程序并返回生成HTTP消息頭。如果攻擊者能夠使用HEAD請(qǐng)求增加一個(gè)管理用戶賬戶,那么,即使在請(qǐng)求中未收到任何消息主體,他仍然能夠成功實(shí)施攻擊。
某些情況下,對(duì)于使用無(wú)法識(shí)別的HTTP方法的請(qǐng)求,平臺(tái)會(huì)直接將它們交由GER請(qǐng)求處理程序,在這種情況下,通過(guò)再請(qǐng)求中指定任意無(wú)效的HTTP方法,就可以避開拒絕某些指定的HTTP方法的平臺(tái)級(jí)控制。

分享標(biāo)題:Web應(yīng)用程序平臺(tái)配置的錯(cuò)誤
當(dāng)前鏈接:http://muchs.cn/news38/159138.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站改版、企業(yè)建站、移動(dòng)網(wǎng)站建設(shè)、搜索引擎優(yōu)化、建站公司、ChatGPT

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

外貿(mào)網(wǎng)站制作