訪問控制可分為三大類:垂直訪問控制、水平訪問控制和上下相關(guān)的訪問控制。
垂直訪問控制允許各種類型的用戶訪問應(yīng)用程序的不同功能。在簡單的情況下,應(yīng)用程序通過這種控制界定普通用戶和管理員。在更加復(fù)雜的情況下,垂直訪問控制可能需要界點(diǎn)允許其訪問特殊功能的各種不同類型的用戶,給每個(gè)用戶分配一個(gè)單獨(dú)的角色,或一組不同的角色。
水平訪問控制允許用戶訪問一組相同類型的、內(nèi)容極其廣泛的資源。例如,Web郵件應(yīng)用程序允許訪問自己而非他人的電子郵件;電子銀行只允許轉(zhuǎn)移自己賬戶內(nèi)的資金;工作流程應(yīng)用程序允許更新分配給你的任務(wù),但只能閱讀分配給他人的任務(wù)。 上下文相關(guān)的訪問控制科確?;趹?yīng)用程序當(dāng)前的狀態(tài),將用戶訪問僅限于所允許的內(nèi)容。例如,如果在某個(gè)過程中,用戶需要完成多個(gè)階段的操作,上下文相關(guān)的訪問控制可以防止用戶不按規(guī)定的順序訪問這階段。 許多時(shí)候,垂直與水平訪問控制相互交疊。如果用戶能夠訪問他無權(quán)訪問的功能或資源,就表示訪問控制存在缺陷。主要有三種類型的一訪問控制位目標(biāo)的攻擊,分別與三種訪問控制相對應(yīng)。
1、如果一名用戶能夠執(zhí)行某種功能,但分配給他的角色并不具有這種權(quán)限,就表示出現(xiàn)垂直權(quán)限提升漏洞。 2、如果一名用戶能夠查看或修改他沒有資格查看或修改的資源,就表示出現(xiàn)水平權(quán)限提升漏洞。
3、如果用戶可以利用應(yīng)用程序狀態(tài)機(jī)中的漏洞獲得關(guān)鍵資源的訪問權(quán)限,就表示出現(xiàn)業(yè)務(wù)邏輯漏洞。
許多時(shí)候,應(yīng)用程序水平的權(quán)限劃分中存在的漏洞可能會立即引起垂直權(quán)限提升攻擊。不完整的訪問控制使得某種用戶權(quán)限的攻擊者能夠執(zhí)行未授權(quán)操作或訪問未授權(quán)數(shù)據(jù)。但是,不完整的訪問控制可能允許完全未獲授權(quán)的用戶訪問只有特權(quán)用戶才能訪問的功能或數(shù)據(jù)。
網(wǎng)頁題目:Web應(yīng)用程序中常見的漏洞
瀏覽地址:http://www.rwnh.cn/news40/168290.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站策劃、建站公司、做網(wǎng)站、外貿(mào)建站、關(guān)鍵詞優(yōu)化、自適應(yīng)網(wǎng)站
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源:
創(chuàng)新互聯(lián)