【WEB漏洞原理】失效的访问控制_失效访问控制(1)

最新推荐文章于 2024-09-13 23:32:49 发布
最新推荐文章于 2024-09-13 23:32:49 发布
阅读量633 收藏 13
点赞数 9
分类专栏: 2024年程序员学习 文章标签: 前端 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76328475/article/details/137663598
版权

1、失效的访问控制

应该对Web 应用(系统等)实施访问控制策略,限定不同用户的不同权限(访问范围)。如果没控制住,就意味着访问控制失效。

1.1、OWASP Top 10
1.1.1、A5:2017-Broken Access Control

A5:2017-Broken Access Control

未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据,例如:访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。

1.1.2、A01:2021 – Broken Access Control

A01:2021 – Broken Access Control

访问控制强制实施策略,使用户无法在其预期权限之外进行操作。失败的访问控制通常会导致未经授权的信息泄露、修改或销毁所有数据、或在用户权限之外执行业务功能。

1.2、失效的访问控制类别

权限移动方向

1.2.1、水平越权

在同级别账户中横向移动

就是同级用户之间的越权,打个比方现在有ABC三个用户,A是管理员,BC都是普通用户,现在B能够使用C这个用户的权限这就是水平越权,

1.2.2、垂直越权

普通用户获取管理员权限

通过低级权限跨越到高级权限,用高级权限干高级权限的事情,来我们继续打比方,A是超级管理员,BC是普通用户,现在这个B啊,通过了某些手段,跨越获得了A超级管理员的权限,这就是垂直越权,垂直越权的特点就是以低级权限向高级权限跨越

1.3、攻防案例
1.3.1、Pikachu靶场 Over Permision

Pikachu靶场 Over Permision

1.3.2、DVWA越权
利用失效的访问控制漏洞执行命令注入

先在正常登录的情况下,BurpSuite抓取Command Injection关卡的Low级别

image-20230901165159111

然后点击Logout退出登录

实现在不登录DVWA靶场的情况下访问靶场里面 Command Injection关卡的Low级别

路径:vulnerabilities\exec\source

最低0.47元/天 解锁文章
上官夏恋
关注
专栏目录
Java代码审计——JEESNS漏洞&悟空CRM漏洞&访问控制
m0_61506558的博客
12-25 1385
可以看到它把关键字alert前面加上了_,导致js代码无法执行,我们在idea里面找路由。这里突破口是用prompt(/xss/)进行过滤。修改 POST请求内容,Content-Type更改为json格式,send一下。找对应,触发过滤器的代码,filter找到了class文件。(一)JEESNS漏洞&黑名单。翻了半天没找到,然后再找。(二)悟空CRM&组件安全
十二个常见的Web安全漏洞总结及防范措施
m0_59598029的博客
11-24 979
本篇文章部分摘要自《OWASP Top 10 2017》。OWASP,开放式Web应用程序安全项目(Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
失效访问控制漏洞复现
来日可期的博客
09-01 2272
失效访问控制漏洞是指系统在实施访问控制策略时出现错误或缺陷,导致攻击者能够绕过或越权访问敏感资源。这些错误可能包括缺乏有效的身份验证、授权检查不完整或不正确配置的访问控制列表(ACL)等。
失效访问控制
热门推荐
Breeze的博客
08-16 1万+
失效访问控制 出现的问题 文件包含/目录遍历 权限绕过(越权) 权限提升(提权) 不安全直接对象的引用 访问控制的(防御)思路 基于角色的访问控制(RBAC) 自由访问控制(DAC) 强访问控制(MAC) 基于权限的访问控制 访问控制验证要求 失效访问控制 这是我在OWASP上几篇文章翻译整理加删减总结出的一个关于失效访问控制的检查可解决的文章。勉强算个原创...
web安全10大风险
LDF-Dicky的博客
10-03 2232
官方文档: http://www.owasp.org.cn/owaspproject/OWASPTop102017RC1V1.0.pdf 转载源:http://blog.csdn.net/lifetragedy/article/details/52573897 OWASP Top 10 – 2013 (旧版) OWASP Top 10 – 2017 (
WEB漏洞原理失效访问控制_失效访问控制
2301_76328475的博客
04-12 987
Redis 是非关系型数据库系统,没有库表列的逻辑结构,仅仅以键值对的方式存储数据Redis 数据库经常用于Web 应用的缓存Redis 可以与文件系统进行交互Redis 监听TCP/6379在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。
失效访问控制(任意文件上传/下载)漏洞
赤赤三的博客
03-20 1146
任意文件下载 : 概念: 一些网站由于业务需求,往往需要提供文件查看或文件下载功能,但若对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意敏感文件,这就是目录遍历与下载漏洞。 一般链接形式: download.php?path= 或 &Src= down.php?file= 或 &Inputfile= &Data= data.php?file= 或 &Filepath= &Path= 下载思路: 下..
OWASP_Broken_Web_Apps_VM_1.2
02-16
- **访问控制失效**:尝试水平和垂直权限提升攻击,理解不同级别的用户如何获取超出权限的功能。 - **安全配置错误**:通过寻找默认账户密码等配置错误,模拟攻击者如何利用这些信息进入系统。 - **XSS攻击**:创建...
等级保护基本要求四级通用要求
weixin_46162146的博客
02-04 6827
1 安全物理环境 1.1 物理位置选择 本项要求包括: a)机房场地应选择在具有防震、防风和防雨等能力的建筑内; b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 1.2 物理访问控制 本项要求包括: a)机房出入口应配置电子门禁系统,控制、鉴别和记录进人的人员; b)重要区域应配置第二道电子门禁系统,控制 、鉴别和记录进入的人员。 1.3 防盗窃和防破坏 本项要求包括: a...
-webkit-box-reflect属性与倒影效果的实现
最新发布
读心悦
09-13 249
是一个非标准的 CSS 属性,主要用于在 WebKit 浏览器(如 Chrome 和 Safari)中创建元素的倒影效果。这个属性并不是 CSS 规范的一部分,但在实践中经常被用来实现简单而有趣的视觉效果。
TinyWebSever源码逐行注释(五)_ http_conn.cpp
qq_39969848的博客
09-09 985
根据状态转移,通过主从状态机封装了http连接类。其中,主状态机在内部调用从状态机,从状态机将处理状态和数据传给主状态机。http_conn.cpp利用一个主从状态机来处理客户端的htttp连接并生成相应的响应。Linux下C++轻量级Web服务器,助力初学者快速实践网络编程,搭建属于自己的服务器.
《响应式 Web 设计:纯 HTML 和 CSS 的实现技巧》
asd4353012的博客
09-06 1763
响应式 Web 设计是现代网页设计的重要趋势,它可以确保网页在不同设备上都能提供良好的用户体验。在实现响应式 Web 设计时,需要掌握媒体查询、弹性布局、流式布局等技术,同时还需要遵循一些最佳实践,如优先考虑移动设备、保持简洁的布局、优化图像和媒体资源、使用响应式字体和提供良好的用户体验等。响应式 Web 设计可以确保网页在不同设备上都能呈现出最佳的布局和样式,满足用户的需求。在实现响应式 Web 设计后,需要在不同的设备上进行测试,确保网页在各种设备上都能正常显示和交互。可以使用响应式字体技术,如。
(微服务项目)新闻头条——Day1
weixin_73253843的博客
09-13 547
(微服务项目)新闻头条——Day1
2024伊语IM即时通讯源码/im商城系统/纯源码IM通讯系统安卓+IOS前端纯原生源码
翎风世界
09-10 632
2.4 node安装wget "https://nodejs.org/dist/v12.18.3/node-v12.18.3-linux-x64.tar.xz"资料参考地址:https://www.1234f.com/sj/GitHub/qtym/20240910/677.html。源码下载地址:https://www.123pan.com/s/LA1bVv-5l5Vv。备用下载地址:http://pan.1234f.com:5212/s/5PrS4。api.xxx.com接口。im.xxx.com通讯。
react 基础语法
小白小白从不日别的博客
09-13 1299
React 官方中文文档目前前端最流行的是三大框架:Vue、React、Angularreact是一个用于构建用户界面的 JavaScript 库react官网(Reactreact中文网(React 官方中文文档React 是一个用于构建用户界面(UI,对咱们前端来说,简单理解为:HTML 页面)的 JavaScript 库Vue 是一个渐进式的 JavaScript 框架如果从mvc的角度来看,React仅仅是视图层(V)的解决方案。也就是只负责视图的渲染,并非提供了完整了M和C的功能。
前端】vue+html+js 实现table表格展示,以及分页按钮添加
weixin_43872912的博客
09-09 488
数据条数太多显示到页面上时可能会渲染较慢,因此需要截取数据进行展示。
在子组件中使用props用于在父组件中给子组件变量设置值
ithongchou的博客
09-13 42
/传给父组件传值到此组件。
GPC失效下的Web编程漏洞与检测:SQL注入与对策
在"GPC不起作用的情况-web编程常见漏洞与检测"这篇文档中,主要讨论了...本文深入探讨了GPC不起作用时Web开发中可能遇到的安全漏洞,特别是SQL注入问题,以及如何通过理解编程语言和漏洞原理来进行有效的检测和防护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值