访问:
主体与客体之间的信息流动。主动的是主体,被动的是客体。
主体访问客体的四个步骤:
身份标识->身份验证(数据库匹配信息,判断身份是否合法)->授权(判断身份是谁,管理员或正常账户)->审计(记录操作)
访问控制模型:
自主访问控住(DAC 大部分使用):由客体的属主自主对客体进行管理,自主决定是否将访问权限授予其他主体。
强制访问控制(MAC 军方或重要政府部门用):安全策略高于一切,由管理员配置,访问控制由系统实施。
角色型访问控制(RBAC):使用集中管理的控制方式来决定主体和客体如何交互,更多用于企业中,根据不同的职位来分配不同的权限。
逻辑漏洞:
代码之后是人的逻辑,人更容易犯错,所以逻辑漏洞一直都在,而且由于逻辑漏洞产生的流量多数为合法流量,一般的防护手段或设备无法阻止,也导致了逻辑漏洞成为了企业防护中的难题。
逻辑漏洞分类:
- 验证机制缺陷
- 会话管理缺陷
- 权限管理缺陷
- 业务逻辑缺陷
- 登录缺陷
- 支付逻辑缺陷
- API乱用
验证机制
身份标识:whoknows、who has、who is
最常见的方式是信息系统要求用户提交用