English 中文(简体)
Security Testing Tutorial

Security Testing Useful Resources

Selected Reading

Missing Function Level Access Control
  • 时间:2024-03-21 18:04:32

Missing Function Level Access Control

Previous Page Next Page  

大多数网络应用在使用户能够使用这一功能之前核查功能水平的使用权。 然而,如果服务器上没有进行同样的出入控制检查,则黑客能够在未经适当授权的情况下进入申请。

让我们在简单图表的帮助下理解这一缺陷的威胁代理人、攻击者、安全弱点、技术影响和商业影响。

missing_fn_level_access_control

Example

这里是“功能水平缺失控制”的典型例子。

这些黑客只是以URLs为目标。 通常,行政准入需要认证,但如果申请的查阅未经核实,则未经认证的用户可以进入行政网页。

  Below URL might be accessible to an authenticated user
http://website.com/app/standarduserpage

  A NON Admin user is able to access admin page without authorization.
http://website.com/app/admin_page

Hands ON

让我们首先通过用户名单及其访问特权,成为账户管理人。

missing_fn_level_access_control1

在尝试各种组合时,我们可以发现,Larry可以接触到资源账户管理人。

missing_fn_level_access_control1

Preventive Mechanisms

    认证机制应不准许一切缺席,并为每个职能提供具体作用。

    在以工作流程为基础的应用中,在允许用户获得任何资源之前,对用户状况进行核实。

Advertisements

友情链接

Allggapp Allqahome-程序员问答家园 mvfinale.com-影视剧情大结局大全