漏洞场景
关键资产没有做访问控制措施,攻击者可以非法访问。
漏洞描述
某些关键资产(数据库或文件),管理员功能没做访问控制限制或限制被绕过导致非法访问。此种情况意味着没控制住权限,访问控制失效。
漏洞原理
.未授权访问,无限制访问控制措施。
.访问措施被绕过。
漏洞危害
越权访问:
.敏感信息
.管理员功能
.....
漏洞评级
高危
漏洞验证
redis数据库未授权:
漏洞利用
漏洞防御
.设置密码
.资产和功能设置合理的访问控制策略
......
漏洞案列
.DVWA越权导致RCE
.Redis未授权访问