2022-05-30 分类: 网站建设
基于客户端提交的请求参数或攻击者控制的其他条件做出的访问控制决定,一些重庆网站制作应用程序使用一种其不安全的访问控制模型。以下有几种访问控制方法不安全的几种。
*基于参数的访问控制在一些这种模型中,应用程序在用户登录时决定用户的角色或访问级别,并在登录最后通过隐藏表单字段、cookie或者预先设定的查询字符串参数由客户传送这些消息。有时候,如果不以高级权限用户的身份时间使用应用程序,并确定在使用过程中提出了哪些请求,这种类型的访问控制可能很难探测出来。
*基于位置的访问控制4 使用支持数据漫游的移动设备
*基于Referer的访问控制
应用程序使用HTTP Referer消息头做出访问控制决定,根据用户的权限,严格控制用户访问主维护菜单,但是,如果某名用户提出要求,要求某些管理功能,应用程序可能只是检测该请求是否由管理菜单页面提出,如果提出,即认为该用户一定已经访问过这给我页面,并由此已经用了必要的权限。当然,这种,模型并不安全,因为Referer消息头完全由用户控制,并可设定为任何值。
分享标题:不安全的访问控制模型
新闻来源:https://www.cdcxhl.com/news45/161445.html
成都网站建设公司_创新互联,为您提供服务器托管、网站维护、全网营销推广、企业网站制作、定制开发、网站收录
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联
猜你还喜欢下面的内容