深圳网站建设
深圳市方与圆网络科技有限公司是一家专注于高品质网站建设、网站设计、网站制作和优化推广的互联网应用服务公司
首页 > 行业新闻 > Web应用程序平台配置的错误
Industry News 行业新闻
Web应用程序平台配置的错误
发布时间:2014/6/7 15:33:10  |  浏览次数:  |   来源:深圳市方与圆网络科技有限公司
深圳网站建设公司在进行网站设计过程中一些应用程序在Web服务器或应用程序平台层使用控件控制访问。通常,应用程序会根据用户的角色来限制对特定URL路径的访问。例如,在用户不属于“管理员”组,访问/admin路径的情趣可能会遇到拒绝,原则上,这是完全符合合法的访问控制方法。但是,在配置平台级控件时发现错误,这时可能导致未授权访问。
正常情情况下,平台级配置与防火墙策略类似,它们基于以下允许或拒绝访问请求:
 *HTTP请求方法;
 *URL路径;
 *用户角色。
GET方法的最初目的是检索信息,而POST方法的目的是执行更改应用程序的数据或状态的操作。
由于大多数用于检索请求参数的应用程序级API对于方法提交并无限制,以基于正确的HTTP方法和URL路径允许访问,就可能会导致未授权访问,因此,攻击者只需在GET要请求的URL查询字符串提供所需参数,就可以未授权使用功能。
即使平台级规则拒绝访问GET和POST方法,应用程序仍然有可能受到攻击。根据规范,服务器应使用它们用于响应对应的GET请求的相同消息头来响应HEAD请求。因此,大多数平台都能够正确处理HEAD请求,即执行对应的GET处理程序并返回生成HTTP消息头。如果攻击者能够使用HEAD请求增加一个管理用户账户,那么,即使在请求中未收到任何消息主体,他仍然能够成功实施攻击。
某些情况下,对于使用无法识别的HTTP方法的请求,平台会直接将它们交由GER请求处理程序,在这种情况下,通过再请求中指定任意无效的HTTP方法,就可以避开拒绝某些指定的HTTP方法的平台级控制。

咨询热线:0755-21053063   18926503767   E-MAIL:sales@szfyweb.com
地址:深圳市龙华新区龙华街道东环一路南方明珠B座5楼   网址:www.szfyweb.com
版权所有 © 2013-2020 深圳市方与圆网络科技有限公司 粤ICP备14006986号    
在线留言  |  点击这里给我发消息