访问控制可分为三大类:垂直访问控制、水平访问控制和上下相关的访问控制。
垂直访问控制允许各种类型的用户访问应用程序的不同功能。在简单的情况下,应用程序通过这种控制界定普通用户和管理员。在更加复杂的情况下,垂直访问控制可能需要界点允许其访问特殊功能的各种不同类型的用户,给每个用户分配一个单独的角色,或一组不同的角色。
水平访问控制允许用户访问一组相同类型的、内容极其广泛的资源。例如,Web邮件应用程序允许访问自己而非他人的电子邮件;电子银行只允许转移自己账户内的资金;工作流程应用程序允许更新分配给你的任务,但只能阅读分配给他人的任务。 上下文相关的访问控制科确保基于应用程序当前的状态,将用户访问仅限于所允许的内容。例如,如果在某个过程中,用户需要完成多个阶段的操作,上下文相关的访问控制可以防止用户不按规定的顺序访问这阶段。 许多时候,垂直与水平访问控制相互交叠。如果用户能够访问他无权访问的功能或资源,就表示访问控制存在缺陷。主要有三种类型的一访问控制位目标的攻击,分别与三种访问控制相对应。
1、如果一名用户能够执行某种功能,但分配给他的角色并不具有这种权限,就表示出现垂直权限提升漏洞。 2、如果一名用户能够查看或修改他没有资格查看或修改的资源,就表示出现水平权限提升漏洞。
3、如果用户可以利用应用程序状态机中的漏洞获得关键资源的访问权限,就表示出现业务逻辑漏洞。
许多时候,应用程序水平的权限划分中存在的漏洞可能会立即引起垂直权限提升攻击。不完整的访问控制使得某种用户权限的攻击者能够执行未授权操作或访问未授权数据。但是,不完整的访问控制可能允许完全未获授权的用户访问只有特权用户才能访问的功能或数据。
网页名称:Web应用程序中常见的漏洞
文章路径:https://www.cdcxhl.com/news/168290.html
成都网站建设公司_创新互联,为您提供定制开发、品牌网站设计、微信公众号、网站策划、移动网站建设、静态网站
广告
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源:
创新互联