在许多的访问控制下不完善情况下,敏感功能和数据可被任何知道相关URL的用户访问。比如在许多应用程序中,任何人只需访问一个特定的URL就能够完全控制它的管理功能:
https://wahh-app.com/admin/
在这种情况下,应用程序通常仅实施如下访问控制:以管理员的身份登录的用户在他们的用户界面上看到一给该URL的链接,而其他用户无法看到这个链接。这种细微的差别是应用程序用于“防止”敏感功能被未授权使用的唯一机制。
有时候,允许用户访问强大的功能的URL可能很难猜测,相当隐蔽,这种情况下,开发者假设攻击者无法知道或发行这个URL,管理功能就会因此受到保护。
一些应用程序的敏感功能隐藏在各种不太同意猜测的URL之后,但攻击者通过仔细检查客户端代码还是可以发现这些URL。许多应用程序使用JavaScript在客户端动态建立用户界面。它一般建立各种与用户状态有关的标记,然后根据这些标记在用户界面中增加不同的元素。
如果其他功能不由Web应用程序客户端直接调用,这些功能也可以调用,并不受任何控制的保护。一般情况下,用户只需能够访问某些特定的方法,但他们却拥有范围所有的权限。
本文标题:URL用户访问的敏感功能和数据
文章路径:https://www.cdcxhl.com/news25/162075.html
成都网站建设公司_创新互联,为您提供网站制作、网站收录、小程序开发、企业网站制作、动态网站、ChatGPT
广告
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源:
创新互联