一、越权简介
越权:权限控制功能设计存在缺陷,攻击者就可以通过这些缺陷来访问未经授权的功能或数据。基于数据的访问控制设计缺陷引起。
越权:水平越权、垂直越权
二、水平越权
水平越权:权限相等者互相越权。
A账号和B账号都可以访问这个功能,但是A账号的个人信息和B账号的个人信息不同,可以理解为A账号和B账号个人资料这个功能上具备水平权限的划分。此时, A账号通过攻击手段访问了B账号的个人资料,这就是水平越权漏洞。
三、垂直越权
垂直越权:不同级别之间或不同角色之间的越权。
垂直越权:向上越权、向下越权。
向上越权:一个低级别用户尝试访问高级别用户的资源。
向下越权:一个高级别用户访问低级别用户信息。
四、防范措施
前后端同时对用户输入信息进行校验,双重验证机制。调用功能前验证用户是否有权限调用相关功能。执行关键操作前必须验证用户身份,验证用户是否具备操作数据的权限。直接对象引用的加密资源ID,防止攻击者枚举ID,敏感数据特殊化处理。永远不要相信来自用户的输入,对于可控参数进行严格的检查与过滤。
1、URL权限校验需要建立角色权限体系,通过过滤器。
2、在方法入口从后端Session获取用户信息。
3、在数据库操作前判断单据是否属于当前用户。
4、功能开发过程中校验业务逻辑。
5、框架层面实现ID模糊化功能。文章来源:https://www.toymoban.com/news/detail-705185.html
文章来源地址https://www.toymoban.com/news/detail-705185.html
到了这里,关于水平越权、垂直越权、防范措施的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
