OWASP TOP 10 web安全威胁---E.失效的访问控制

E.失效的访问控制

E1.水平越权

概念:

A用户和B用户属于同一级别用户,但各自不能操作对方个人信息,A用户如果越权操作B用户的个人信息的情况称为水平越权操作。

漏洞描述:

A用户登录后查看个人信息,在url中修改username为B用户即可查看B用户个人信息。

修正措施:

后台在获取到用户名的时候,需要和当前登录态的用户名作对比,不是就拒绝掉,防止出现水平越权的操作。

E2.垂直越权

概念:

A用户权限高于B用户,B用户越权操作A用户的权限的情况称为垂直越权。

漏洞描述:

B用户操作时抓包,将B用户的cookie替换为A用户的cookie,操作同样生效。

修正措施:

判断A用户和B用户的级别,高级别操作时的代码不仅要验证是否为登录态,还要进行级别验证,防止出现垂直越权的操作。

OWASP TOP 10 web安全威胁---E.失效的访问控制

上一篇:Ubuntu server 16.04LTS尝鲜之安装


下一篇:js代码的运行机制