其他分享
首页 > 其他分享> > 水平-垂直越权攻击

水平-垂直越权攻击

作者:互联网

水平-垂直越权攻击

越权攻击介绍

是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大, 列为Web应用十大安全隐患的第二名

指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者更高权限.

产生原因:主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信,而遗漏了权限的判定

水平越权

垂直越权

防范措施

建立用户和可操作资源的绑定关系,用户对任何资源进行操作时,通过该绑定关系确保该资源是属于该用户所有的
基于RBAC角色访问控制机制来防止纵向越权攻击,定义不同的权限角色,为每个角色分配不同的权限,当用户执行某个动作或产生某种行为时,通过用户所在的角色判定该动作或者行为是否允许。

标签:角色,攻击,用户,垂直,访问,攻击者,权限,越权
来源: https://www.cnblogs.com/zhoujianyi/p/15195890.html