訪問控制可分為三大類:垂直訪問控制、水平訪問控制和上下相關(guān)的訪問控制。
垂直訪問控制允許各種類型的用戶訪問應(yīng)用程序的不同功能。在簡單的情況下,應(yīng)用程序通過這種控制界定普通用戶和管理員。在更加復(fù)雜的情況下,垂直訪問控制可能需要界點允許其訪問特殊功能的各種不同類型的用戶,給每個用戶分配一個單獨的角色,或一組不同的角色。
水平訪問控制允許用戶訪問一組相同類型的、內(nèi)容極其廣泛的資源。例如,Web郵件應(yīng)用程序允許訪問自己而非他人的電子郵件;電子銀行只允許轉(zhuǎn)移自己賬戶內(nèi)的資金;工作流程應(yīng)用程序允許更新分配給你的任務(wù),但只能閱讀分配給他人的任務(wù)。 上下文相關(guān)的訪問控制科確?;趹?yīng)用程序當前的狀態(tài),將用戶訪問僅限于所允許的內(nèi)容。例如,如果在某個過程中,用戶需要完成多個階段的操作,上下文相關(guān)的訪問控制可以防止用戶不按規(guī)定的順序訪問這階段。 許多時候,垂直與水平訪問控制相互交疊。如果用戶能夠訪問他無權(quán)訪問的功能或資源,就表示訪問控制存在缺陷。主要有三種類型的一訪問控制位目標的攻擊,分別與三種訪問控制相對應(yīng)。
1、如果一名用戶能夠執(zhí)行某種功能,但分配給他的角色并不具有這種權(quán)限,就表示出現(xiàn)垂直權(quán)限提升漏洞。 2、如果一名用戶能夠查看或修改他沒有資格查看或修改的資源,就表示出現(xiàn)水平權(quán)限提升漏洞。
3、如果用戶可以利用應(yīng)用程序狀態(tài)機中的漏洞獲得關(guān)鍵資源的訪問權(quán)限,就表示出現(xiàn)業(yè)務(wù)邏輯漏洞。
許多時候,應(yīng)用程序水平的權(quán)限劃分中存在的漏洞可能會立即引起垂直權(quán)限提升攻擊。不完整的訪問控制使得某種用戶權(quán)限的攻擊者能夠執(zhí)行未授權(quán)操作或訪問未授權(quán)數(shù)據(jù)。但是,不完整的訪問控制可能允許完全未獲授權(quán)的用戶訪問只有特權(quán)用戶才能訪問的功能或數(shù)據(jù)。
網(wǎng)頁名稱:Web應(yīng)用程序中常見的漏洞
文章路徑:http://jinyejixie.com/news/168290.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供定制開發(fā)、品牌網(wǎng)站設(shè)計、微信公眾號、網(wǎng)站策劃、移動網(wǎng)站建設(shè)、靜態(tài)網(wǎng)站
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源:
創(chuàng)新互聯(lián)