OWASP top 10 (2017) 学习笔记--失效的访问控制

A5:2017 失效的访问控制

漏洞描述:

未对通过身份验证的用户实施恰当的访问控制,攻击者可以利用这些缺陷访问未经授权的功能或数据。

漏洞影响:

技术影响是攻击者可以冒充用户、管理员或拥有特权的用户,或者创建、访问、更新或删除任何记录。业务影响取决于应用程序和数据的保护需求。

检测场景:

越权:

  横向越权、纵向越权

文件操作:

  文件上传、文件包含、任意文件下载、任意文件删除

预防思路:

1、加强引用参数的封装、加密

2、利用安全标签,采用强访问控制模型(MAC)

posted @ 2019-01-09 15:04  i11USi0n  阅读(1581)  评论(0编辑  收藏  举报