Web安全(四)访问控制和业务安全

最新推荐文章于 2023-02-09 11:41:54 发布
最新推荐文章于 2023-02-09 11:41:54 发布
阅读量2.5k 收藏
点赞数
分类专栏: 渗透测试 文章标签: 安全 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gao1213977085/article/details/120829452
版权

复习

​ Session攻击,攻击者可以让session不失效,可以窃取用户会话,进行攻击。

​ 单点登录,实现机制就是我在一个子系统登录后,可以只登录一次,去访问其他子系统的webapp。流程是SSO系统(专门用于登录的系统),比如不是登录态,用户登录页面会跳转到SSO系统的页面,登录成功后生成一个凭证,当用户访问其他子系统是,用凭证就无需登录了,但是子系统要重新验证凭证。防止篡改。

文章目录

一、访问控制

​ 授权和认证中,用户可以访问哪些页面是授权的问题,普通用户可以访问admin的页面就是出现越权问题。

​ 访问控制,限制主体对客体的访问。主体可以是浏览器的客户端。客体可以是一个主页和主页下的资源。读取和修改是操作。对一个服务器来说,服务器的端口(http,https,mysql)电脑访问服务器的服务。发起请求的电脑是主体。可以通过防火墙来控制恶意请求。会有一个访问控制列表,规定哪些ip可以访问和不可以访问。

​ linux中有些文件时只读的,或者可写的,针对某个用户组,设置可读可写的权限。

1.三个要素

​ 主体(动作发起者) 客体(被访问的资源的实体) 控制策略(主体对客体访问的规则集合)

​ 对于web应用也有访问控制,

1.基于角色的访问控制(用的比较多RBAC)

​ 不同角色有不同的权限,控制可以访问的资源。在系统中设置权限(比如创建,修改,删除,查看&#

最低0.47元/天 解锁文章
小高写BUG
关注
专栏目录
《网络安全自学教程》- Web体系架构存在的安全问题和解决方案
wangyuxiang946的博客
06-06 1万+
Web体系架构、Web三层架构、Web应用防火墙原理、网页防篡改系统的三种实现原理
Web开发基本准则-55实录-Web访问安全
weixin_34309543的博客
10-15 159
  Web开发工程师请阅读下面的前端开发准则,这是第一部分,强调了过去几年里我们注意到的Web工程师务须处理的Web访问安全基础点。尤其是一些从传统软件开发转入互联网开发的工程师,请仔细阅读,不要因为忽视这些基础点而制造一个又一个的漏洞或突发事件。 Web开发基本准则-55实录-Web访问安全 郑昀 创建于2013年2月 郑昀 最后更新于2013年10月14日 提纲: Web访问...
web 服务安全访问
weixin_34279579的博客
07-06 172
我们在做web服务的时候,一旦发布所有的人都可以访问。如果涉及数据更新的web服务就有问题了。 别人只要知道我的web服务地址,就可以调用我的方法了。 第一种方法: 方法是在iis设置取消匿名访问。 访问web服务的代码增加认证 代码如下: 代码 try{NetworkCredentialmyCred=new...
Web应用安全控制
技术代码资料库
10-14 148
本内容摘自《Java Web程序设计基础教程》 第13章 系统安全控制 目标: u 掌握使用登录功能对系统的用户进行认证; u 掌握如何控制只有具有相应权限的用户才可以访问相应的资源; u 掌握如何控制页面中的部分功能只能在特定的情况下才能使用; u 掌握如何对多个文件的安全同时进行控制; u 了解验证码的工作原理。 网站的很多功能是普通用...
一个基于角色的WEB 安全访问控制系统
网站开发初中级代码参考-转载
07-13 350
一个基于角色的WEB 安全访问控制系统 赵锐 河北工业职业技术学院计算机技术系软件专业 Email: zr04rj@hotmail.com 摘要 在WEB安全管理上访问控制是一个富有挑战性的问题。本文对基于角色的访问控制模型进行分析并对相关的概念进行了定义,给出了实现模型和算法设计;对现行的Web 安全认证和访问控制中存在的问题和隐患进行了分析,并给出了一种新的可行的安全解决方案。本...
010-Web安全基础6 - 访问控制漏洞.pptx
10-11
Web应用程序接收到用户请求,修改某条数据时,没有判断数据的所属人,或者在判断数据所属人时从用户提交的表单参数中获取了用户信息,导致攻击者可以自行设置用户,修改不属于自己的数据 只要是权限验证不是使用...
WEB安全(客户端脚本安全
06-13
基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL...
Web安全测试学习手册.pdf
04-01
基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL...
《白帽子讲Web安全》10-访问控制
CD的博客
03-30 548
对于权限的合理分配,一直是安全设计中的核心问题。 认证解决了“Who am I?”的问题,而授权解决了“What Can I Do?”的问题。
web-攻击访问控制】(5.3)保障访问控制安全:多层权限模型
08-17 496
【保障访问控制安全】多层权限模型
web应用安全控制
sdaujsjczh的专栏
05-31 199
安全控制流程
Web安全笔记
naiba01的博客
02-21 961
  最近读了吴翰清的《白帽子讲Web安全》,学到了不少东西。现把书中的知识点梳理一遍,以便记忆。以下内容是我根据《白帽子讲Web安全》和自己的理解整理的,如有不够清晰或误导的地方,可以查看原书。   随着网页技术的飞速发展,越来越多的黑客把攻击的目光投向网页。因而,Web安全也愈发显得重要。   评判一个网页是否安全,可以分析网站是否具有具备安全三要素:机密性(Confidentiality)...
公司项目重构-Web安全-访问控制
vrain的博客
05-04 387
目录一、背景介绍二、基础概念三、安全风险、防范手段1、使用安全框架(重要)2、后台对数据范围做判断(重要)3、避免数据库自增ID在页面传输(建议) 如时间有限,可直接阅读防范手段一节。 一、背景介绍 今年开始公司准备对项目做部分重构,其中安全性问题首当其冲,除了已知的问题外,还需要发散思维,尽可能找出更多的潜在问题。期间发现一本非常好的书《白帽子讲Web安全》,感谢吴翰清大佬,读完本书让我对we...
Web安全访问控制
RexHa的博客
12-21 1309
系统只验证了能访问数据的角色,既没有对角色内的用户做细分,也没有对数据的子集做细分,因此缺乏一个用户到数据之间的对应关系。在RBAC这种“基于角色的访问控制”的模型下,系统只会验证用户A是否属于角色RoleX,而不会判断用户A是否只能访问只属于用户B的数据DataB,因此,发生了越权访问,这种问题我们就称为“水平权限管理问题”RBAC事先在系统中定义出不同的角色,不同角色有不同权限,一个用户可能拥有多个角色,角色之间有高低之分,在系统验证权限时,只需要验证用户所属的角色,再根据角色的权限进行授权。
浅谈 Web 安全
最新发布
qq_53058639的博客
02-09 137
我们多少应该听说过一些关于web安全的问题吧,比如http劫持xss跨站脚本攻击corf跨站请求伪造。当下好多的网站都没有实现https,web安全也是一个非常重要的话题。
WEB访问安全策率
zyyy930的专栏
01-02 214
  1.接防火墙,在防火墙层做拦截,流控策率:URL+IP,在60秒周期内,一个IP只能访问60次,超过60次,做流控,限制用户刷单。 2. 用户登录时长做控制,不允许永久登录,用户登录时长超过24小时,强制退出重新登录。(系统session失效会话周期是6小时,但黑客登录完之后,通过心跳机制每隔3分钟访问客服系统,导致黑客可持续在线)。 3.对顾客敏感信息增加查询条数限制,例如,对登录用户...
WEB系统安全:数据与业务逻辑需求深度剖析
业务逻辑安全方面,文中提及了身份认证、访问控制、交易处理的防重复提交、异步交易处理、交易数据不可否认性以及监控和审计等功能。身份认证确保了只有合法用户才能进行操作,访问控制则根据用户权限限制其访问特定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值