不安全的訪問(wèn)控制模型

2022-05-30    分類(lèi): 網(wǎng)站建設(shè)

基于客戶端提交的請(qǐng)求參數(shù)或攻擊者控制的其他條件做出的訪問(wèn)控制決定,一些重慶網(wǎng)站制作應(yīng)用程序使用一種其不安全的訪問(wèn)控制模型。以下有幾種訪問(wèn)控制方法不安全的幾種。

*基于參數(shù)的訪問(wèn)控制在一些這種模型中,應(yīng)用程序在用戶登錄時(shí)決定用戶的角色或訪問(wèn)級(jí)別,并在登錄最后通過(guò)隱藏表單字段、cookie或者預(yù)先設(shè)定的查詢字符串參數(shù)由客戶傳送這些消息。有時(shí)候,如果不以高級(jí)權(quán)限用戶的身份時(shí)間使用應(yīng)用程序,并確定在使用過(guò)程中提出了哪些請(qǐng)求,這種類(lèi)型的訪問(wèn)控制可能很難探測(cè)出來(lái)。

*基于位置的訪問(wèn)控制
很多成都建站公司在具有管理或業(yè)務(wù)要求,根據(jù)用戶的地理位置限制對(duì)資源的訪問(wèn),在這些情況下,會(huì)采用各種方法來(lái)確定用戶的位置,其中最常用的是用戶當(dāng)前的IP地址位置。攻擊者一般能夠輕易的突破位置的訪問(wèn),一下是一些常用的方法:
 1 使用位于所需位置的Web代理服務(wù)商
 2 使用在所位置終止的VPN
 3 直接修改客戶端應(yīng)用于確定地理位置

4 使用支持?jǐn)?shù)據(jù)漫游的移動(dòng)設(shè)備

*基于Referer的訪問(wèn)控制

應(yīng)用程序使用HTTP Referer消息頭做出訪問(wèn)控制決定,根據(jù)用戶的權(quán)限,嚴(yán)格控制用戶訪問(wèn)主維護(hù)菜單,但是,如果某名用戶提出要求,要求某些管理功能,應(yīng)用程序可能只是檢測(cè)該請(qǐng)求是否由管理菜單頁(yè)面提出,如果提出,即認(rèn)為該用戶一定已經(jīng)訪問(wèn)過(guò)這給我頁(yè)面,并由此已經(jīng)用了必要的權(quán)限。當(dāng)然,這種,模型并不安全,因?yàn)镽eferer消息頭完全由用戶控制,并可設(shè)定為任何值。

分享標(biāo)題:不安全的訪問(wèn)控制模型
新聞來(lái)源:http://www.muchs.cn/news45/161445.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供服務(wù)器托管網(wǎng)站維護(hù)、全網(wǎng)營(yíng)銷(xiāo)推廣、企業(yè)網(wǎng)站制作、定制開(kāi)發(fā)、網(wǎng)站收錄

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

外貿(mào)網(wǎng)站建設(shè)