Chinaunix首页 | 论坛 | 博客
  • 博客访问: 129618
  • 博文数量: 89
  • 博客积分: 930
  • 博客等级: 准尉
  • 技术积分: 820
  • 用 户 组: 普通用户
  • 注册时间: 2011-09-22 19:03
文章分类

全部博文(89)

文章存档

2022年(1)

2015年(6)

2014年(29)

2013年(15)

2012年(38)

我的朋友

分类: 网络与安全

2012-08-16 10:14:14

Access Control Flaw:访问控制缺陷

 

角色的访问控制方案:个角色代表一组访问权限和特权,单个用户可以设置多个角色。

角色访问控制方案由:角色权限管理,角色分配 构成

 

目前访问控制出现问题的地方一般在:事务,资源。

 

事务:值操作,比如:delete,modified等

资源:好理解,就是访问的内容,有一个标志,比如:ID,Name

 

水平权限概念

 

URL中若包含用户身份标识,通过修改该标识来达到转换身份的目的

URL或请求中包含资源ID,通过修改该ID来达到跨身份的操作资源

 

垂直权限概念

 

复制其他不同角色的URL或请求,在普通用户身份时发起,检查是否越权

 

Webgoat中的内容:

1、Using an Access Control Matrix

 

找出除了admin以外,角色是[User, Manager],可以访问Account Manager资源的用户

 

2、Bypass a Path Based Access Control Scheme

尝试访问服务器文件,比如tomcat/conf/tomcat-users.xml

 

3、LAB: Role Based Access Control

Bypass Business Layer Access Control:绕过事务层

 

Bypass Data Layer Access Control:绕过数据层

 

4、Remote Admin Access

 

直接在URL中加一个参数&admin=true, 试图使用管理员身份访问该页面

 

阅读(1272) | 评论(0) | 转发(0) |
0

上一篇:没有了

下一篇:WebGoat:Code Quality

给主人留下些什么吧!~~