不安全的訪問控制模型

2022-05-30 分類：網站建設

基于客戶端提交的請求參數或攻擊者控制的其他條件做出的訪問控制決定，一些重慶網站制作應用程序使用一種其不安全的訪問控制模型。以下有幾種訪問控制方法不安全的幾種。

*基于參數的訪問控制在一些這種模型中，應用程序在用戶登錄時決定用戶的角色或訪問級別，并在登錄最后通過隱藏表單字段、cookie或者預先設定的查詢字符串參數由客戶傳送這些消息。有時候，如果不以高級權限用戶的身份時間使用應用程序，并確定在使用過程中提出了哪些請求，這種類型的訪問控制可能很難探測出來。

*基于位置的訪問控制
很多成都建站公司在具有管理或業務要求，根據用戶的地理位置限制對資源的訪問，在這些情況下，會采用各種方法來確定用戶的位置，其中最常用的是用戶當前的IP地址位置。攻擊者一般能夠輕易的突破位置的訪問，一下是一些常用的方法：
1 使用位于所需位置的Web代理服務商
2 使用在所位置終止的VPN
3 直接修改客戶端應用于確定地理位置

4 使用支持數據漫游的移動設備

*基于Referer的訪問控制

應用程序使用HTTP Referer消息頭做出訪問控制決定，根據用戶的權限，嚴格控制用戶訪問主維護菜單，但是，如果某名用戶提出要求，要求某些管理功能，應用程序可能只是檢測該請求是否由管理菜單頁面提出，如果提出，即認為該用戶一定已經訪問過這給我頁面，并由此已經用了必要的權限。當然，這種，模型并不安全，因為Referer消息頭完全由用戶控制，并可設定為任何值。

分享標題：不安全的訪問控制模型
新聞來源：http://www.kartarina.com/news45/161445.html

成都網站建設公司_創新互聯，為您提供服務器托管、網站維護、全網營銷推廣、企業網站制作、定制開發、網站收錄

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源：創新互聯

猜你還喜歡下面的內容