标签:code session 标识 垂直 控制 img 上下文 会话管理 cal
常见的漏洞
有些功能根本就没有执行访问控制
基于标识符的功能
多阶段功能
静态文件
平台配置错误
访问控制方法不可靠
常见的***套路
在测试某一个应用程序的访问控制前摸清下面几个问题可以使我们的分析过程事半功倍:
哪些资源属于用户特定的访问资源
应用程序用户角色的划分
管理员角色是否与普通用户使用的是同一个Web应用程序
寻找那些可以有助于权限提升的功能和资源即***点或者待分析的点
不同用户账户进行测试
测试多阶段访问
通过有限访问权限进行测试
常见的防御模型
在为应用程序设计权限控制时开发者借鉴下述几条tips:
每个页面强制使用验证逻辑代码或者引用中央验证代码
对于静态文件的访问可以修改为将文件名作为参数传给动态文件
不要相信客户端传递过来的任何数据,像标识符或者一些重要参数可以存在服务器端的session中
对于重要的功能可以采用IP验证比如(仅允许localhost访问),尽管这种方法还是可以绕过,但是这最起码加大了***者的访问难度。
对于重要的功能执行多因子验证
完整的权限控制体系有以下几种:
编程控制
自主访问控制(DAC)
基于角色的访问控制(RBAC)
声明式访问控制
下一节:更新接口安全性测试之SQL注入
标签:code session 标识 垂直 控制 img 上下文 会话管理 cal
原文地址:https://blog.51cto.com/14645850/2525124
