当前位置:Gxlcms > mysql > AccessControlFlaws

AccessControlFlaws

时间:2021-07-01 10:21:17 帮助过:43人阅读

Access Control Flaw:访问控制缺陷 角色的访问 控制方案: 个角色代表一组访问权限和特权, 单个用户可以设置多个角色。 角色访问控制方案由:角色权限管理,角色分配 构成 目前访问控制出现问题的地方一般在:事务,资源。 事务:值操作,比如:delete,mo

Access Control Flaw:访问控制缺陷

角色的访问控制方案:个角色代表一组访问权限和特权,单个用户可以设置多个角色。

角色访问控制方案由:角色权限管理,角色分配 构成

目前访问控制出现问题的地方一般在:事务,资源。

事务:值操作,比如:delete,modified等

资源:好理解,就是访问的内容,有一个标志,比如:ID,Name

水平权限概念

URL中若包含用户身份标识,通过修改该标识来达到转换身份的目的

URL或请求中包含资源ID,通过修改该ID来达到跨身份的操作资源

垂直权限概念

复制其他不同角色的URL或请求,在普通用户身份时发起,检查是否越权

Webgoat中的内容:

1、Using an Access Control Matrix

找出除了admin以外,角色是[User, Manager],可以访问Account Manager资源的用户

2、Bypass a Path Based Access Control Scheme

尝试访问服务器文件,比如tomcat/conf/tomcat-users.xml

3、LAB: Role Based Access Control

Bypass Business Layer Access Control:绕过事务层

Bypass Data Layer Access Control:绕过数据层

4、Remote Admin Access

直接在URL中加一个参数&admin=true, 试图使用管理员身份访问该页面

人气教程排行