缺少功能级访问控制

缺少功能级访问控制

大多数 Web 应用程序在使用户可以访问该功能之前验证功能级别的访问权限。但是,如果不在服务器上执行相同的访问控制检查,黑客就可以在未经适当授权的情况下渗透到应用程序中。

让我们借助简单的图表了解此漏洞的威胁代理、攻击向量、安全弱点、技术影响和业务影响。

missing_fn_level_access_control

例子

这是缺少功能级别访问控制的经典示例 –

黑客只是强制使用目标 URL。通常管理员访问需要身份验证,但是,如果应用程序访问未经验证,则未经身份验证的用户可以访问管理页面。

' Below URL might be accessible to an authenticated user
http://website.com/app/standarduserpage

' A NON Admin user is able to access admin page without authorization.
http://website.com/app/admin_page

动手

第 1 步– 让我们首先浏览用户列表及其访问权限,以客户经理身份登录。

missing_fn_level_access_control1

第 2 步– 在尝试各种组合后,我们可以发现 Larry 可以访问资源帐户管理器。

missing_fn_level_access_control1

预防机制

  • 默认情况下,身份验证机制应拒绝所有访问,并为每个功能提供对特定角色的访问。

  • 在基于工作流的应用程序中,在允许用户访问任何资源之前验证用户的状态。

觉得文章有用?

点个广告表达一下你的爱意吧 !😁