Web應(yīng)用程序平臺配置的錯誤

2022-05-26 分類：網(wǎng)站建設(shè)

成都網(wǎng)站建設(shè)公司在進(jìn)行網(wǎng)站設(shè)計過程中一些應(yīng)用程序在Web服務(wù)器或應(yīng)用程序平臺層使用控件控制訪問。通常，應(yīng)用程序會根據(jù)用戶的角色來限制對特定URL路徑的訪問。例如，在用戶不屬于“管理員”組，訪問/admin路徑的情趣可能會遇到拒絕，原則上，這是完全符合合法的訪問控制方法。但是，在配置平臺級控件時發(fā)現(xiàn)錯誤，這時可能導(dǎo)致未授權(quán)訪問。
正常情情況下，平臺級配置與防火墻策略類似，它們基于以下允許或拒絕訪問請求：
*HTTP請求方法；
*URL路徑；
*用戶角色。
GET方法的最初目的是檢索信息，而POST方法的目的是執(zhí)行更改應(yīng)用程序的數(shù)據(jù)或狀態(tài)的操作。
由于大多數(shù)用于檢索請求參數(shù)的應(yīng)用程序級API對于方法提交并無限制，以基于正確的HTTP方法和URL路徑允許訪問，就可能會導(dǎo)致未授權(quán)訪問，因此，攻擊者只需在GET要請求的URL查詢字符串提供所需參數(shù)，就可以未授權(quán)使用功能。
即使平臺級規(guī)則拒絕訪問GET和POST方法，應(yīng)用程序仍然有可能受到攻擊。根據(jù)規(guī)范，服務(wù)器應(yīng)使用它們用于響應(yīng)對應(yīng)的GET請求的相同消息頭來響應(yīng)HEAD請求。因此，大多數(shù)平臺都能夠正確處理HEAD請求，即執(zhí)行對應(yīng)的GET處理程序并返回生成HTTP消息頭。如果攻擊者能夠使用HEAD請求增加一個管理用戶賬戶，那么，即使在請求中未收到任何消息主體，他仍然能夠成功實施攻擊。
某些情況下，對于使用無法識別的HTTP方法的請求，平臺會直接將它們交由GER請求處理程序，在這種情況下，通過再請求中指定任意無效的HTTP方法，就可以避開拒絕某些指定的HTTP方法的平臺級控制。

本文名稱：Web應(yīng)用程序平臺配置的錯誤
當(dāng)前URL：http://jinyejixie.com/news/159138.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供Google、網(wǎng)站設(shè)計公司、電子商務(wù)、品牌網(wǎng)站設(shè)計、建站公司、企業(yè)建站

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容

成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

Web應(yīng)用程序平臺配置的錯誤