浅谈安全漏洞--之越权

本文从房屋安全的比喻出发,解释了越权漏洞的概念,包括垂直越权(基于角色的控制,低权限角色访问高权限功能)、水平越权(同等角色间访问他人私有数据)和交叉越权。通过实例分析了这两种类型的越权漏洞,并强调了在系统设计中实施最小权限原则的重要性。最后,作者表示作为安全学习的初学者,欢迎读者指正错误。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

做为一个零基础安全知识的我,理解上有不对的地方,请大家指正!谢谢!

   对房屋来说,使用房屋有哪些人呢?主人和访客还有不速之客。通过使用钥匙开了房屋门,我们在房屋里可以做什么呢?对于房屋的主人,我可以使用房屋内所有的东西,进出任何一个房间;对于一个访客来说,只能在房屋的公共场地使用,而房屋里某些的使用需要主人的授权才可以使用,比如进入主人的书房或者卧室。除此之外,也会有不速之客来这房屋翻箱倒柜。这说明房屋的安全做得不够,才会为不速之客提供了可能。在系统中,我们可以认为这不速之客访问为越权。


     越权漏洞是常见的安全漏洞之一,他的危险指数是S1级。越权分为水平越权和垂直越权、交叉越权。

 何为垂直越权?

   它是纵向的,是基于角色的控制(role-Based Access Control 简称RBAC)。简单的说,垂直越权即低权限的角色通过一些途径,获得高权限的能力,就发生了越权访问。一般在配置权限时应该采用“最小权限原则”。

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值