不安全的访问控制模型

2022-05-30    分类: 网站建设

基于客户端提交的请求参数或攻击者控制的其他条件做出的访问控制决定,一些重庆网站制作应用程序使用一种其不安全的访问控制模型。以下有几种访问控制方法不安全的几种。

*基于参数的访问控制在一些这种模型中,应用程序在用户登录时决定用户的角色或访问级别,并在登录最后通过隐藏表单字段、cookie或者预先设定的查询字符串参数由客户传送这些消息。有时候,如果不以高级权限用户的身份时间使用应用程序,并确定在使用过程中提出了哪些请求,这种类型的访问控制可能很难探测出来。

*基于位置的访问控制
很多成都建站公司在具有管理或业务要求,根据用户的地理位置限制对资源的访问,在这些情况下,会采用各种方法来确定用户的位置,其中最常用的是用户当前的IP地址位置。攻击者一般能够轻易的突破位置的访问,一下是一些常用的方法:
 1 使用位于所需位置的Web代理服务商
 2 使用在所位置终止的VPN
 3 直接修改客户端应用于确定地理位置

4 使用支持数据漫游的移动设备

*基于Referer的访问控制

应用程序使用HTTP Referer消息头做出访问控制决定,根据用户的权限,严格控制用户访问主维护菜单,但是,如果某名用户提出要求,要求某些管理功能,应用程序可能只是检测该请求是否由管理菜单页面提出,如果提出,即认为该用户一定已经访问过这给我页面,并由此已经用了必要的权限。当然,这种,模型并不安全,因为Referer消息头完全由用户控制,并可设定为任何值。

分享标题:不安全的访问控制模型
新闻来源:/news45/161445.html

成都网站建设公司_创新互联,为您提供服务器托管网站维护全网营销推广企业网站制作定制开发网站收录

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

外贸网站建设