水平-垂直越权攻击
越权攻击介绍
是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大, 列为Web应用十大安全隐患的第二名
指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者更高权限.
产生原因:主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信,而遗漏了权限的判定
水平越权
- 攻击者尝试访问与他拥有相同权限的用户的资源
- 例子:A用户可以直接操作到B用户的数据
垂直越权
- 一个低级别攻击者尝试访问高级别用户的资源
- 例子:普通管理员登录,拼接浏览器地址,直接访问高级管理员的页面
防范措施
- 防范水平越权
建立用户和可操作资源的绑定关系,用户对任何资源进行操作时,通过该绑定关系确保该资源是属于该用户所有的
- 防范垂直越权
基于RBAC角色访问控制机制来防止纵向越权攻击,定义不同的权限角色,为每个角色分配不同的权限,当用户执行某个动作或产生某种行为时,通过用户所在的角色判定该动作或者行为是否允许。
标签:角色,攻击,用户,垂直,访问,攻击者,权限,越权 来源: https://www.cnblogs.com/zhoujianyi/p/15195890.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。