0%

什么是访问控制

访问控制就是执行尝试的操作或访问他们所请求的资源的约束条件的应用。在Web应用程序的上下文中,访问控制取决于身份验证和会话管理:
身份验证:可以识别用户并确认他们就是他们所说的身份。
会话管理:标识该同一用户正在发出哪些后续HTTP请求。
访问控制:确定是否允许用户执行他们尝试执行的操作。
访问控制是漏洞一个经常遇到且关键的安全漏洞。访问控制的设计和管理是一个复杂、动态的问题,他将业务、组织、法律约束等应用于技术实施中。访问控制设计决策必须由人决定,而不是技术。

访问控制类类型

垂直访问控制:垂直访问控制是一种机制,用于限制对其他类型的用户不可用的敏感功能的访问。

使用垂直访问控制,不同类型的用户可以访问不同的应用程序功能。例如,管理员可能能够修改或删除任何用户的帐户,而普通用户无权访问这些操作。垂直访问控制可以是安全模型的更细粒度的实现,这些模型旨在实施业务策略,例如职责分离和最低特权。

水平访问控制:水平访问控制是一种机制,用于将资源的访问限制为专门允许访问这些资源的用户。

使用水平访问控制,不同的用户可以访问同一类型的资源的子集。例如,银行业务应用程序将允许用户查看交易并从自己的帐户进行付款,但不能查看其他任何用户的帐户。

上下文访问控制上下文相关的访问控制根据应用程序的状态或用户与应用程序的交互来限制对功能和资源的访问。

上下文相关的访问控制可防止用户以错误的顺序执行操作。例如,零售网站可能会阻止用户在付款后修改购物车中的内容。


在具体的访问控制漏洞中,我试着总结一些我已知的:

1.首先是垂直特权升级,简单理解就是可以直接在URL后输入/admin,/reboot.txt,/template等。实践告诉我越简单的安全问题越致命。

如果提供的是某些不好预测的URL来隐藏的话,可以用过浏览器开发者查看源代码,有可能隐藏其中。

2.基于参数的访问控制是不安全的,可以通过BP等工具对包做截断,再将会话信息等敏感参数做修改,比如false/true,roleid等存在session中的值。

3.

Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me on GitHub.

Quick Start

Create a new post

1
$ hexo new "My New Post"

More info: Writing

Run server

1
$ hexo server

More info: Server

Generate static files

1
$ hexo generate

More info: Generating

Deploy to remote sites

1
$ hexo deploy

More info: Deployment