web服务端安全之权限漏洞

一、权限漏洞

访问控制是指用户对系统所有访问的权限控制,通常包含水平权限,和垂直权限。

水平越权:同一角色级别的用户之间所产生的问题,如A用户可以未授权访问B用户的数据;

垂直越权:不同角色级别的用户之间所产生的问题,如普通用户可未授权进行管理操作,未登录用户可以访问需授权应用。

二、常见场景

所有涉及到与用户相关数据的位置,如用户资料,地址,订单。

所有涉及到登录及权限控制的位置,如后台登录,当前用户权限校验。

三、防御

涉及到用户数据的操作,严格判断当前用户的身份

对于所有需要权限控制的位置,严格校验用户权限级别。

上一篇:那些年被我坑过的Python——邂逅与初识(第一章)


下一篇:python 安装 管理包 pip