成都网站建设公司在进行
网站设计过程中一些应用程序在Web服务器或应用程序平台层使用控件控制访问。通常,应用程序会根据用户的角色来限制对特定URL路径的访问。例如,在用户不属于“管理员”组,访问/admin路径的情趣可能会遇到拒绝,原则上,这是完全符合合法的访问控制方法。但是,在配置平台级控件时发现错误,这时可能导致未授权访问。
正常情情况下,平台级配置与防火墙策略类似,它们基于以下允许或拒绝访问请求:
*HTTP请求方法;
*URL路径;
*用户角色。
GET方法的最初目的是检索信息,而POST方法的目的是执行更改应用程序的数据或状态的操作。
由于大多数用于检索请求参数的应用程序级API对于方法提交并无限制,以基于正确的HTTP方法和URL路径允许访问,就可能会导致未授权访问,因此,攻击者只需在GET要请求的URL查询字符串提供所需参数,就可以未授权使用功能。
即使平台级规则拒绝访问GET和POST方法,应用程序仍然有可能受到攻击。根据规范,服务器应使用它们用于响应对应的GET请求的相同消息头来响应HEAD请求。因此,大多数平台都能够正确处理HEAD请求,即执行对应的GET处理程序并返回生成HTTP消息头。如果攻击者能够使用HEAD请求增加一个管理用户账户,那么,即使在请求中未收到任何消息主体,他仍然能够成功实施攻击。
某些情况下,对于使用无法识别的HTTP方法的请求,平台会直接将它们交由GER请求处理程序,在这种情况下,通过再请求中指定任意无效的HTTP方法,就可以避开拒绝某些指定的HTTP方法的平台级控制。
分享标题:Web应用程序平台配置的错误
当前链接:/news38/159138.html
成都网站建设公司_创新互联,为您提供网站改版、企业建站、移动网站建设、搜索引擎优化、建站公司、ChatGPT
广告
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源:
创新互联