业务逻辑实现的前提是:要区分每个用户,针对每个用户提供独立的服务内容,并且允许客户与服务器进行交互。
做出有效的权限划分。
针对Web应用的攻击就是一个从零权限到最高权限的过程。攻击者的核心目标就是通过各种手段提升自己的权限,权限越大,对后续的攻击越有帮助。
假设网站对权限管理不足,就会造成平行越权的情况,平行越权会给网站造成极大隐患。
权限管理作为网站用户进行分级管理的核心手段,直接决定了该网站用户、管理员的安全以及网站自身的安全程度。
近年来,针对网络逻辑问题的攻击呈爆发式增长,核心问题式对权限的逻辑进行攻击,因此,需对权限进行全面、有效的管理。
由于Web中的角色较多,并且多数角色的权限细分程度极高,权限过于细化也容易给网站管理带来不便,为了解决这个问题,通常建议从多个角度进行划分,即分层管理权限。
- 分类管理:根据觉得对网站的未来用户进行分类,针对不同类型用户进行特定管理。
- 分权管理:在分类管理基础上还可以进一步细化,可利用分权管理作为分类管理的延续。
用户管理的本质是权限管理。
逻辑问题的主要表现在程序的整体执行流程上,业务逻辑相对于Web应用的基础安全来说,其主要更能都需要用户经过多个步骤方可完成。
作为攻击者来说,如果登录自己的账号,但可通过各种方式实际操作到B账号,就可以获取到B账号的权限。