- 安全测试教程
- 安全测试 - 主页
- 安全测试 - 概述
- 安全测试 - 流程
- 安全测试-恶意软件
- HTTP 协议基础知识
- HTTPS 协议基础知识
- 编码与解码
- 安全测试-密码学
- 安全测试 - 同源策略
- 安全测试 - Cookie
- 黑客网络应用程序
- 安全测试-注入
- 测试损坏的身份验证
- 测试跨站脚本
- 不安全的直接对象引用
- 测试安全配置错误
- 测试敏感数据暴露
- 缺少功能级别访问控制
- 跨站请求伪造
- 有漏洞的组件
- 未经验证的重定向和转发
- 安全测试 - Ajax 安全
- 测试安全性 - Web 服务
- 安全测试 - 缓冲区溢出
- 安全测试 - 拒绝服务
- 测试恶意文件执行
- 安全测试 - 自动化工具
- 安全测试有用的资源
- 安全测试 - 快速指南
- 安全测试 - 有用的资源
- 安全测试 - 讨论
缺少功能级别访问控制
大多数 Web 应用程序在使用户可以访问该功能之前都会验证功能级别的访问权限。但是,如果不在服务器上执行相同的访问控制检查,黑客就能够在未经适当授权的情况下渗透到应用程序中。
让我们借助简单的图表了解该缺陷的威胁代理、攻击向量、安全弱点、技术影响和业务影响。
例子
这是缺少功能级别访问控制的典型示例 -
黑客只是强制目标 URL。通常管理员访问需要身份验证,但是,如果应用程序访问未经验证,则未经身份验证的用户可以访问管理页面。
' Below URL might be accessible to an authenticated user http://website.com/app/standarduserpage ' A NON Admin user is able to access admin page without authorization. http://website.com/app/admin_page
动手
步骤 1 - 让我们以帐户经理身份登录,首先浏览用户列表及其访问权限。
步骤 2 - 尝试各种组合后,我们可以发现 Larry 可以访问资源帐户管理器。
预防机制
身份验证机制应默认拒绝所有访问,并为每个功能提供对特定角色的访问。
在基于工作流的应用程序中,在允许用户访问任何资源之前验证用户的状态。