中文字幕日韩精品一区二区免费_精品一区二区三区国产精品无卡在_国精品无码专区一区二区三区_国产αv三级中文在线

Web應(yīng)用程序平臺(tái)配置的錯(cuò)誤

2022-05-26    分類: 網(wǎng)站建設(shè)

成都網(wǎng)站建設(shè)公司在進(jìn)行網(wǎng)站設(shè)計(jì)過(guò)程中一些應(yīng)用程序在Web服務(wù)器或應(yīng)用程序平臺(tái)層使用控件控制訪問(wèn)。通常,應(yīng)用程序會(huì)根據(jù)用戶的角色來(lái)限制對(duì)特定URL路徑的訪問(wèn)。例如,在用戶不屬于“管理員”組,訪問(wèn)/admin路徑的情趣可能會(huì)遇到拒絕,原則上,這是完全符合合法的訪問(wèn)控制方法。但是,在配置平臺(tái)級(jí)控件時(shí)發(fā)現(xiàn)錯(cuò)誤,這時(shí)可能導(dǎo)致未授權(quán)訪問(wèn)。
正常情情況下,平臺(tái)級(jí)配置與防火墻策略類似,它們基于以下允許或拒絕訪問(wèn)請(qǐng)求:
 *HTTP請(qǐng)求方法;
 *URL路徑;
 *用戶角色。
GET方法的最初目的是檢索信息,而POST方法的目的是執(zhí)行更改應(yīng)用程序的數(shù)據(jù)或狀態(tài)的操作。
由于大多數(shù)用于檢索請(qǐng)求參數(shù)的應(yīng)用程序級(jí)API對(duì)于方法提交并無(wú)限制,以基于正確的HTTP方法和URL路徑允許訪問(wèn),就可能會(huì)導(dǎo)致未授權(quán)訪問(wèn),因此,攻擊者只需在GET要請(qǐng)求的URL查詢字符串提供所需參數(shù),就可以未授權(quán)使用功能。
即使平臺(tái)級(jí)規(guī)則拒絕訪問(wèn)GET和POST方法,應(yīng)用程序仍然有可能受到攻擊。根據(jù)規(guī)范,服務(wù)器應(yīng)使用它們用于響應(yīng)對(duì)應(yīng)的GET請(qǐng)求的相同消息頭來(lái)響應(yīng)HEAD請(qǐng)求。因此,大多數(shù)平臺(tái)都能夠正確處理HEAD請(qǐng)求,即執(zhí)行對(duì)應(yīng)的GET處理程序并返回生成HTTP消息頭。如果攻擊者能夠使用HEAD請(qǐng)求增加一個(gè)管理用戶賬戶,那么,即使在請(qǐng)求中未收到任何消息主體,他仍然能夠成功實(shí)施攻擊。
某些情況下,對(duì)于使用無(wú)法識(shí)別的HTTP方法的請(qǐng)求,平臺(tái)會(huì)直接將它們交由GER請(qǐng)求處理程序,在這種情況下,通過(guò)再請(qǐng)求中指定任意無(wú)效的HTTP方法,就可以避開(kāi)拒絕某些指定的HTTP方法的平臺(tái)級(jí)控制。

本文名稱:Web應(yīng)用程序平臺(tái)配置的錯(cuò)誤
當(dāng)前URL:http://www.rwnh.cn/news/159138.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供Google、網(wǎng)站設(shè)計(jì)公司、電子商務(wù)、品牌網(wǎng)站設(shè)計(jì)、建站公司、企業(yè)建站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

h5響應(yīng)式網(wǎng)站建設(shè)
五河县| 成安县| 木里| 宝坻区| 德格县| 武安市| 余干县| 屯昌县| 福贡县| 阳谷县| 南宫市| 长垣县| 阳朔县| 米脂县| 莆田市| 宕昌县| 米林县| 苏尼特左旗| 三台县| 沙坪坝区| 西乌珠穆沁旗| 太湖县| 桂平市| 巩义市| 长垣县| 天峻县| 若羌县| 怀宁县| 龙川县| 浑源县| 丽江市| 柞水县| 永城市| 三门峡市| 宜州市| 四子王旗| 景谷| 平山县| 苍溪县| 恭城| 江山市|