COMPANY NEWS 公司新闻
Industry News 行业新闻
不安全的访问控制模型
发布时间:2014/6/11 16:33:33 |
浏览次数: | 来源:深圳市方与圆网络科技有限公司
基于客户端提交的请求参数或攻击者控制的其他条件做出的访问控制决定,一些深圳网站制作应用程序使用一种其不安全的访问控制模型。以下有几种访问控制方法不安全的几种。
*基于参数的访问控制在一些这种模型中,应用程序在用户登录时决定用户的角色或访问级别,并在登录最后通过隐藏表单字段、cookie或者预先设定的查询字符串参数由客户传送这些消息。有时候,如果不以高级权限用户的身份时间使用应用程序,并确定在使用过程中提出了哪些请求,这种类型的访问控制可能很难探测出来。
*基于位置的访问控制很多深圳建站公司在具有管理或业务要求,根据用户的地理位置限制对资源的访问,在这些情况下,会采用各种方法来确定用户的位置,其中最常用的是用户当前的IP地址位置。攻击者一般能够轻易的突破位置的访问,一下是一些常用的方法:
1 使用位于所需位置的Web代理服务商
2 使用在所位置终止的VPN
3 直接修改客户端应用于确定地理位置
4 使用支持数据漫游的移动设备
*基于Referer的访问控制
应用程序使用HTTP Referer消息头做出访问控制决定,根据用户的权限,严格控制用户访问主维护菜单,但是,如果某名用户提出要求,要求某些管理功能,应用程序可能只是检测该请求是否由管理菜单页面提出,如果提出,即认为该用户一定已经访问过这给我页面,并由此已经用了必要的权限。当然,这种,模型并不安全,因为Referer消息头完全由用户控制,并可设定为任何值。
