access control flaws-凯发app官方网站

凯发app官方网站-凯发k8官网下载客户端中心 | | 凯发app官方网站-凯发k8官网下载客户端中心

o06v90o的chinaunix博客

凯发app官方网站首页　| 　博文目录　| 　关于我

博客访问： 121477
博文数量： 89
博客积分： 930
博客等级：准尉
技术积分： 820
用户组：普通用户
注册时间： 2011-09-22 19:03

文章分类

全部博文（89）

git（0）
性能测试（3）

jmeter（1）
dos（2）
mysql（3）
java（4）

jetty（2）
linux（6）

samba（1）
seo相关（0）
maven（4）
服务器相关（2）

nginx（2）
应用程序（2）
oracle（8）
css（1）
（1）
（4）
（24）
（8）
（11）

（4）

（3）
perl编程（0）
shell编程（6）

sed编辑器（3）
未分配的博文（0）

文章存档

（1）

（6）

（29）

2013年（15）

2012年（38）

我的朋友

最近访客

推荐博文

相关博文

·
·
·
·
·
·
·
·
·
·

access control flaws

分类：网络与安全

2012-08-16 10:14:14

access control flaw：访问控制缺陷

角色的访问控制方案：个角色代表一组访问权限和特权，单个用户可以设置多个角色。

角色访问控制方案由：角色权限管理，角色分配构成

目前访问控制出现问题的地方一般在：事务，资源。

事务：值操作，比如：delete，modified等

资源：好理解，就是访问的内容，有一个标志，比如：id，name

水平权限概念

url中若包含用户身份标识，通过修改该标识来达到转换身份的目的

url或请求中包含资源id，通过修改该id来达到跨身份的操作资源

垂直权限概念

复制其他不同角色的url或请求，在普通用户身份时发起，检查是否越权

webgoat中的内容：

1、using an access control matrix

找出除了admin以外，角色是[user, manager]，可以访问account manager资源的用户

2、bypass a path based access control scheme

尝试访问服务器文件，比如tomcat/conf/tomcat-users.xml

3、lab: role based access control

bypass business layer access control：绕过事务层

bypass data layer access control：绕过数据层

4、remote admin access

直接在url中加一个参数&admin=true, 试图使用管理员身份访问该页面

阅读(1142) | 评论(0) | 转发(0) |

0

上一篇：没有了

下一篇：webgoat:code quality

给主人留下些什么吧！~~

| | | | |

凯发app官方网站 copyright 2001-2010 chinaunix.net all rights reserved 北京皓辰网域网络信息技术有限公司. 凯发k8官网下载客户端中心的版权所有

感谢所有关心和支持过chinaunix的朋友们

")); function link(t){ var href= $(t).attr('href'); href ="?url=" encodeuricomponent(location.href); $(t).attr('href',href); //setcookie("returnouturl", location.href, 60, "/"); }