黑客攻防技术宝典(八)
第8章 攻击访问控制
- 8.1 常见漏洞
- 8.1.1 完全不受保护的功能
- 8.1.2 基于标识符的功能
- 8.1.3 多阶段功能
- 8.1.4 静态文件
- 8.1.5 平台配置错误
- 8.1.6 访问控制方法不安全
- 8.2 攻击访问控制
- 8.2.1 使用不用用户账户进行测试
- 8.2.2 测试多阶段过程
- 8.3.3 通过有线访问权限进行测试
- 8.4.4 测试“直接访问方法”
- 8.2.5 测试对静态资源的控制
- 8.2.6 测试对HTTP方法试试的限制
- 8.3 保障访问控制的安全
- 8.4 小结
- 8.5 问题
从逻辑上讲,应用程序的和新安全机制的访问控制建立在验证和会话管理之上。
访问控制漏洞的概念:应用程序允许攻击者执行某种攻击者没有资格执行的操作。
该漏洞普遍的原因:需要对每一个请求,以及特殊用户在特定时刻尝试对资源执行的每一项操作执行访问控制检查。
8.1 常见漏洞
垂直访问控制:允许各种类型的用户访问应用程序的不同功能。
水平访问控制:允许用户访问一组相同类型的、内容极其广泛的资源。
上下文相关的访问控制:确保基于应用程序当前的状态,将用户访问仅限于所允许的内容。
8.1.1 完全不受保护的功能
- 任何人只需访问一个特定的URL即可完全控制它的管理功能。(URL不具有保密性)
- 应用程序披露实际用于远程调用API方法的URL或参数
8.1.2 基于标识符的功能
- 通过资源标识符即可对其进行请求(资源标识符并不具有保密性)
8.1.3 多阶段功能
- 应用程序的许多功能需要通过几个几段执行。而开发者认为,任何到达验证过程后续阶段的用户一定已经拥有相关的权限,因为前面的阶段已经验证了这些权限。攻击者即可直接进入后面的阶段而不需验证。
8.1.4 静态文件
- 用户向Web服务器请求静态资源时,它的内容直接由Web服务器返回。静态资源本身并不能执行任何检查以确认提出请求的用户拥有必要的权限。
8.1.5 平台配置错误
平台级配置基于以下条件允许或拒绝访问请求:
- HTTP请求方法
- URL路径
- 用户角色
若没有正确制定规则,可能易于受到攻击。如使用无法识别的HTTP方法的请求,平台直接将它们交由GET请求处理程序处理。
8.1.6 访问控制方法不安全
如一些基于客户端提交的请求参数或受攻击者控制的其他条件作出访问控制决定:
- 基于参数的访问控制
- 基于Referer的访问控制
- 基于位置的访问控制
8.2 攻击访问控制
8.2.1 使用不用用户账户进行测试
8.2.2 测试多阶段过程
8.3.3 通过有线访问权限进行测试
8.4.4 测试“直接访问方法”
8.2.5 测试对静态资源的控制
8.2.6 测试对HTTP方法试试的限制
8.3 保障访问控制的安全
- URL或标识符并不保密
- 不要信任任何用户提交的表示访问权限的参数
- 不要认为用户将按设定的顺序访问应用程序页面
- 不要相信用户不会篡改客户端传送的数据
- 仔细评估并记录每个应用程序功能单元的访问控制要求
- 通过用户会话作出所有访问控制决定
- 使用一个中央应用程序组件检查访问控制
- 通过这个组件处理每一个客户端请求,确认允许提出请求的用户访问他请求的功能和资源
- 使用编程技巧确保前面的方法没有例外
- 对于特别敏感的功能,可通过IP地址进一步限制访问
- 要保护静态内容,可通过这两个方法:
- 通过向执行相关访问控制逻辑的服务器端动态页面传送一个文件名,间接访问静态文件
- 通过使用HTTP验证或应用程序服务器的其他特性隐藏进入的请求,并在允许访问前检查资源许可,控制用户访问静态文件
- 服务器应只信任完整的服务器端数据
- 对于安全性很关键的应用程序功能可考虑执行重复验证和双重授权
- 记录每一个访问敏感数据或执行敏感操作的事件
多层权限模型
- 根据在应用程序服务器层面定义的用户角色,使用应用程序服务器对完整URL路径实施访问控制
- 当执行其他用户的操作时,应用程序可使用一个不同的数据库账户
- 应使用一个权限表,对数据库中不同的数据表执行严格的访问控制
- 用于运行基础设施中每个组件的操作系统账户只需分配组件实际所需的最低权限
访问控制概念
- 编程控制
- 自主访问控制
- 基于角色的访问控制
- 声明式控制
8.4 小结
8.5 问题
黑客攻防技术宝典(八)相关推荐
- 热评一箩筐——《黑客攻防技术宝典》
< 黑客攻防技术宝典: Web实战篇 > 自 8 月初上市,将近两个月共计销售 2500 多册(在今年金融危机这个大环境下,能有这样的销量还是相当不错的). 下面是我们收集的读者对这本书的 ...
- 跟安全技术大师学习黑客攻防技术 ——《黑客攻防技术宝典:web实战篇》
跟安全技术大师学习黑客攻防技术 --<黑客攻防技术宝典: web 实战篇> 随着网络技术的快速发展以及网络带宽的不断扩张, Web 应用程序几乎无处不在,渗透到社会的经济.文化.娱乐等各个 ...
- 《黑客攻防技术宝典Web实战篇@第2版》读书笔记1:了解Web应用程序
读书笔记第一部分对应原书的第一章,主要介绍了Web应用程序的发展,功能,安全状况. Web应用程序的发展历程 早期的万维网仅由Web站点构成,只是包含静态文档的信息库,随后人们发明了Web浏览器用来检 ...
- 《黑客攻防技术宝典:Web实战篇》习题答案(一)
译者按:以下为<黑客攻防技术宝典:Web实战篇>一书第二版中的习题答案,特在此推出.如果读者发现任何问题,请与本人联系.英文答案请见:The Web Application Hacker' ...
- 《黑客攻防技术宝典Web实战篇》.Dafydd.Stuttard.第2版中文高清版pdf
下载地址:网盘下载 内容简介 编辑 <黑客攻防技术宝典(Web实战篇第2版)>从介绍当前Web应用程序安全概况开始,重点讨论渗透测试时使用的详细步骤和技巧,最后总结书中涵盖的主题.每章后还 ...
- 黑客攻防技术宝典web实战篇:核心防御机制习题
猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 黑客攻防技术宝典web实战篇是一本非常不错的书,它的著作人之一是burpsuite的作者,课后的习题值得关注 ...
- 全面分析Web应用程序安全漏洞——《黑客攻防技术宝典:web实战篇》
媒体评论 "想成为 Web 安全高手吗?读这本书吧,你一定不会失望!" --Amazon.com "没有空洞的理论和概念,也没有深奥的行话,除了实战经验,还是实战经验-- ...
- 黑客攻防技术宝典(十八)
第18章 攻击Web服务器 18.1 Web服务器配置缺陷 18.1.1 默认证书 18.1.2 默认内容 18.1.3 目录列表 18.1.4 WebDAV方法 18.1.5 Web服务器作为代理服 ...
- 黑客攻防技术宝典Web实战篇 第2版 pdf
下载地址:网盘下载 内容简介 · · · · · · 越来越多的关键应用现在已经迁移到网站上,这些Web应用的安全已经成为各机构的重要挑战.知己知彼,方能百战不殆.只有了解Web应用程序中存在的可被 ...
最新文章
- ACL中的wildcard mask
- 侧链,驱动链,和根链的双向锚定设计
- 【redis】liunx安装redis
- mysql 改变枚举值_mysql 改变数据类型为枚举不成功?
- 编程入门python语言是多大孩子学的-什么是少儿Python编程?这一篇就够啦!
- Windows下打包maven项目,编写bat脚本,dos命令在后台运行与关闭
- 2020 我的C++的学习之路 第十章 对象和类
- php编程用空格,shell 编程中空格的使用方法
- excel转成csv格式的默认分隔符
- 个人作业-Week2
- 江西理工大学南昌校区cool code竞赛
- 浅析局域网与广域网中数据传输
- 【详细原理】蒙特卡洛树搜索入门教程!
- maven导入ojdbc14.jar
- 动态壁纸安卓_抖音新款“八卦罗盘”屏保,苹果安卓都能用!
- Min GW 安装教程(转载)
- ActiveX是什么?界面开发有哪些好用的ActiveX控件推荐?
- 10大主流压力/负载/性能测试工具推荐
- Qt编写高仿苹果MAC电脑输入法(支持触摸滑动选词)
- raise ContentTooShortError(urllib.error.ContentTooShortError: <urlopen error retrieval incomplete:
热门文章
- java oracle in 10000_oracle循环插入1万条数据
- 民族证券午间看盘:短线有望企稳,把握反弹机会
- 汇编指令和机器码在线转换工具
- CTrayNotifyIcon新系统托盘图标
- lol手游内测服务器什么时候维护好,LOL手游第二次内测开启?网友预测:正式服春节前可以上线...
- 通过wine安装qq之后出现了不能输入的问题文件不能用
- 向大家推荐《动物公司》
- Incapsula免费日本CDN加速和CDNZZ香港CDN节点加速
- 2020职高计算机录取分数线,内江第一计算机职业中学2020年招生录取分数线
- 如何使得搜索的内容更准确?