Web應(yīng)用程序中常見的漏洞

  訪問控制可分為三大類：垂直訪問控制、水平訪問控制和上下相關(guān)的訪問控制。                    
  垂直訪問控制允許各種類型的用戶訪問應(yīng)用程序的不同功能。在簡單的情況下，應(yīng)用程序通過這種控制界定普通用戶和管理員。在更加復(fù)雜的情況下，垂直訪問控制可能需要界點(diǎn)允許其訪問特殊功能的各種不同類型的用戶，給每個(gè)用戶分配一個(gè)單獨(dú)的角色，或一組不同的角色。                            
  水平訪問控制允許用戶訪問一組相同類型的、內(nèi)容極其廣泛的資源。例如，Web郵件應(yīng)用程序允許訪問自己而非他人的電子郵件；電子銀行只允許轉(zhuǎn)移自己賬戶內(nèi)的資金；工作流程應(yīng)用程序允許更新分配給你的任務(wù)，但只能閱讀分配給他人的任務(wù)。                                                                                                           上下文相關(guān)的訪問控制科確?；趹?yīng)用程序當(dāng)前的狀態(tài)，將用戶訪問僅限于所允許的內(nèi)容。例如，如果在某個(gè)過程中，用戶需要完成多個(gè)階段的操作，上下文相關(guān)的訪問控制可以防止用戶不按規(guī)定的順序訪問這階段。                                                                                                                                                     許多時(shí)候，垂直與水平訪問控制相互交疊。如果用戶能夠訪問他無權(quán)訪問的功能或資源，就表示訪問控制存在缺陷。主要有三種類型的一訪問控制位目標(biāo)的攻擊，分別與三種訪問控制相對應(yīng)。              
  1、如果一名用戶能夠執(zhí)行某種功能，但分配給他的角色并不具有這種權(quán)限，就表示出現(xiàn)垂直權(quán)限提升漏洞。                                                                           2、如果一名用戶能夠查看或修改他沒有資格查看或修改的資源，就表示出現(xiàn)水平權(quán)限提升漏洞。      
  3、如果用戶可以利用應(yīng)用程序狀態(tài)機(jī)中的漏洞獲得關(guān)鍵資源的訪問權(quán)限，就表示出現(xiàn)業(yè)務(wù)邏輯漏洞。  
 許多時(shí)候，應(yīng)用程序水平的權(quán)限劃分中存在的漏洞可能會立即引起垂直權(quán)限提升攻擊。不完整的訪問控制使得某種用戶權(quán)限的攻擊者能夠執(zhí)行未授權(quán)操作或訪問未授權(quán)數(shù)據(jù)。但是，不完整的訪問控制可能允許完全未獲授權(quán)的用戶訪問只有特權(quán)用戶才能訪問的功能或數(shù)據(jù)。

網(wǎng)頁題目：Web應(yīng)用程序中常見的漏洞
瀏覽地址：http://www.muchs.cn/news40/168290.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站策劃、建站公司、做網(wǎng)站、外貿(mào)建站、關(guān)鍵詞優(yōu)化、自適應(yīng)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)