PCI DSS 不正确的访问控制

最新推荐文章于 2023-08-28 17:04:46 发布
最新推荐文章于 2023-08-28 17:04:46 发布
阅读量627 收藏 1
点赞数
分类专栏: Security 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010726042/article/details/52870451
版权

6.5.8 不正确的访问控制(不安全的直接对象引用,未能限制URL访问、目录遍历和未能限制用户的功能访问)

 

不安全的直接对象引用意指一个已经授权的用户,通过更改访问时的一个参数,从而访问到了原本其并没有得到授权的对象。Web应用往往在生成Web页面时会用它的真实名字,且并不会对所有的目标对象访问时来检查用户权限,所以这就造成了不安全的对象直接引用的漏洞。例如在URL中引用表单号”www.onlinebank.com/user?acct=01”,那么用户可以直接更改acct的值来访问其他表单页面。

 

         “目录遍历漏洞”指通过在URL或参数中构造“../”,或“../”和类似的跨父目录字符串的ASCII编码、unicode编码等,完成目录跳转,读取操作系统各个目录下的敏感文件,也可以称作“任意文件读取漏洞”。程序没有充分过滤用户输入的../之类的目录跳转符,导致用户可以通过提交目录跳转来遍历服务器上的任意文件。使用多个..符号,不断向上跳转,最终停留在根/,通过绝对路径去读取任意文件。

目录遍历漏洞示例与测试:
http://210.151.85.128/../../../../../../../../../etc/passwd

http://www.test.com/my.jsp?file=../../Windows/system.ini

 

 

不正确的访问控制可以通过净化用户输入,正确的用户验证,不向用户暴露内部对象引用,用户界面不允许访问未授权的功能,限制数据资源的访问权限等。

Q1n6
关注
专栏目录
opendocman漏洞:不正确访问控制漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-05 470
opendocman漏洞详情.CVE ID:CVE-2014-1946 OpenDocMan是一款开源基于WEB的文档管理系统。 由于在更新用户的个人资料时“/ signup.php”脚本允许的动作未充分验证,远程身份验证的攻击者可以分配管理权限和完全控制应用程序
PCIDSS2.3:如何通过身份验证和授权来保护PCI设备
程序员光剑
07-24 1329
作者:禅与计算机程序设计艺术 1.简介 2009年1月,美国政府颁布了《支付卡行业数据安全标准(PCI DSS)》,该标准旨在提高支付卡数据处理系统和存储媒体的安全性、可用性和完整性。目前,全球支付机构在遵守PCI DSS标准方面已经逐渐成为行业共识,并越来越多的银行已经开始接受PCI级的数据安全标准。
PCI DSS不合规的处理方法
戴翔的技术博客
02-11 7139
将SSL证书部署到网站之后,我们常常会使用检测工具对网站进行检测与评级,MySSL就是一个比较知名的检测网站,其是由亚洲诚信( TrustAsia )提供证书支持和技术支持的网站。 通常,使用MySSL进行检测时后会出现如下图所示的检测概述,显示 PCI DSS不合规 。 PCI DSS,全称Payment Card Industry Data Security Standard,第三方支付行业...
解决HTTPS证书安全检测时提示 PCI DSS 不合规问题
我的开发博客(公众号:Web后端技术)
12-24 5763
解决HTTPS证书安全检测时提示 PCI DSS 不合规问题 今天在进行HTTPS证书安全检测时,提示PCI DSS不合规。经查询得知是因为SSL配置时启用了TLS1.0导致的。 关于 PCI DSS 自2018年6月30日起,PCI安全标准委员会规定HTTPS类的网站中开启TLS1.0将不符合PCI支付卡行业安全标准。 PCI DSS,全称 Payment Card Industry Data ...
轻松解决SSL 证书没有绿锁、HTTPS网站检测提示的PCI DSS不合规
qq_41002705的博客
04-05 1014
轻松解决SSL 证书没有绿锁、HTTPS网站检测提示的PCI DSS不合规 前段时间为防止博客网站www.bytelion.cn受到攻击刚从http 过度到https,手机端和PC端都可正常访问了,本不想再浪费时间在上面了,但是当从qq等应用跳转网站时,发现还是没解决掉qq等第三方应用跳转到网站会跳出连接不安全提示,(虽然并没有什么非法问题),但是作为一个守法公民的合格网站,怎么能允许这样的事发生...
宝塔Apache服务器的SSL证书 PCI DSS不合规的解决办法
仿站、源码搭建/迁移技术博客
01-26 2621
PCI DSS不合规 解决方法 打开站点的设置,找到配置文件,搜索SSLProtocol,找到如下图。 在此行后面添加 -TLSv1,禁用TLS1.0,再点“保存”。 PCI DSS合规 本文如果对你有所帮助,还请点赞,关注支持一下,谢谢! ...
pci dss saq instr guide v2.0
08-24
V2.0》是一份由PCI安全标准委员会(PCI Security Standards Council)发布的文档,旨在帮助商家和服务提供商理解并正确填写支付卡行业数据安全标准(Payment Card Industry Data Security Standard, PCI DSS)中的...
支付卡行业数据安全标准(PCI DSS)学习笔记
Q1n6
09-01 1万+
要求1:安装并维护防火墙配置以保护持卡人数据。(控制数据流流入流出) 1.1   建立实施配置标准 1.1.1         检查书面程序,包括网络连接和变更记录。 1.1.2         检查网络图表和网络配置。 1.1.3         检查数据流程图表。(存储、处理或传输数据的位置) 1.1.4         检查防火墙配置标准。 1.1.5         网络组件负
PCI PTS安全认证DTRS
新时代农民工
06-27 972
1.PCI DSS要求: PCIDSS是应用于整个支付生态系统的安全标准,其中包括密钥管理和密钥注入方面的要求。PCIDSS要求对所有密钥进行严格的管理,包括生成、存储、分发和注入过程对于使用RKI的组织,PCI DSS要求确保密钥注入过程中的安全性,包括对密钥进行加密、使用安全的通信渠道、进行身份认证和验证等 2.PCI PTS要求: PCI PTS规范是针对支付终端设备的安全性要求,其中包括RKI方面的规定·PTS要求RKI服务提供商通过特定的流程和控制来保护密钥的安全性和完整性PTS要求RKI服
微信小程序请求不到接口解决
最新发布
weixin_42748454的博客
08-28 967
如果PCI DSS 不合规;是因为支持了 TLS1.0协议被判定为不合规,关闭后正常访问;配置完后可以在开发者工具中查看。
DSS遇到的问题
fish的小技术
12-17 2027
412错误Precondition failed参考:http://blog.csdn.net/echoaiya/article/details/20118777
pci dss不合规_如果中小型企业不符合PCI DSS合规性标准怎么办?
culu1614的博客
08-11 1113
pci dss不合规PCI/DSS has been the result of multiple efforts towards defining a common framework for the implementation of security controls to protect payment card data. The rules of PCI DSS (Payment Ca...
https(ssl)协议以及wireshark抓包分析与解密
热门推荐
Q1n6
11-30 11万+
根据之前一篇安全协议的分析中分析了ssl协议,先回顾下ssl协议的内容然后用wireshark来抓包看具体流量包内容。          SSL协议栈位置介于TCP和应用层之间,分为SSL记录协议层和SSL握手协议层。其中SSL握手协议层又分为SSL握手协议、SSL密钥更改协议和SSL警告协议。SSL握手协议作用是在通信双方之间协商出密钥,SSL记录层的作用是定义如何对上层的协议进行封装。S
php文件包含+伪协议+文件上传漏洞利用实例
Q1n6
07-12 1万+
1.上传文件过滤了后缀名和MIME类型,$_FILES['pic']['type']是由浏览器传输的文件类型决定,但是mime_content_type()是由php 内置方法判断文件类型;         支持文件类型为application/zip,支持上传zip压缩文件,后缀名还是要改成.jpg或.gif,上传后将该名为随机数字(1499394959).jpg格式 $name1=sub
Python黑帽子——通过Paramiko使用SSH
Q1n6
06-22 8937
首先下载paramiko pip install paramiko 查看并启动ssh服务 service ssh status service ssh start 另ssh添加用户的方法: 添加用户: useradd -d /home/qing qing passwd qing 赋予ssh权限 vi /etc/ssh/sshd_config 添加 AllowUser
数据链路层常见威胁与防御技术
Q1n6
09-21 7203
1 CAM表溢出攻击与端口安全          当与交换机相连的设备箱交换机发送数据帧时,交换机会立刻将数据帧的源MAC地址与接收到该数据帧的端口作为一个条目保存到CAM表中。          溢出攻击:当CAM表已满时,如果交换机收到了以CAM表中没有记录的MAC地址作为目的地址的数据包,就会像集线器一样将数据帧通过所有端口进行泛洪。如果攻击者想要接收自己所在VLAN中的所有数据帧,可以
信息收集与社工库
Q1n6
11-18 7019
第一步尽可能收集信息,第二步过滤出可能需要的信息          信息收集方式(以公司为例,个人信息会有所不同): 在网站上收集对象的情况:公司服务、产品,地理位置,联系电话,高管成员,支持论坛,电子邮件命名规则,可能用于密码分析的特殊字符或短语。 收集方式:公共服务器、社交媒体、搜索引擎、whois域名信息查询、个人博客、个人网站、公开报告等。(Maltego可以帮助完成基于网页的被动
PCI DSS 3.2:时间同步技术确保关键系统一致性
PCI DSS是一项针对处理、存储和传输敏感支付信息的实体和网络环境的安全标准,其目的是保护信用卡数据免受未经授权的访问。 章节10.4着重于确保关键系统的时钟同步,因为时间一致性对于日志文件的比较、事件序列的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值