web漏洞一 逻辑漏洞(一)
逻辑漏洞概述
一、访问控制权概述
- 访问
在某种程度上来说,信息安全就是通过如何访问信息资源来防范资源泄露或未经授权修改的工作。访问就是主体(Subiect)和客体(Object)之间的信息流动,主体是访问中主动的实体,可以是程序、进程等;客体是被动的实体,可以是文件、光盘、数据库等。 - 访问控制
主体访问客体通常需要4个步骤:身份标识(identification)、身份验证(authentication)、授权(authorization)、审计(accountability)。 - 访问控制模型
访问控制模型是规定主体如何访问客体的一种架构,目前主要分为三种:
①自主访问控制(DAC)
由客体的属主自主的对客体进行管理,自主的决定是否将访问权限授予其他主体。
②强制访问控制(MAC)
安全策略由管理员配置,访问控制由系统实施,安全策略是高于一切的存在。
③角色型访问控制(RBAC)
使用集中管理的控制方式来决定主体和客体如何交互,更多的用于企业中,根据不同的职位来分配不同的权限。
二、逻辑漏洞概述
1.什么是逻辑漏洞
长话短说:代码之后是人的逻辑,人更容易犯错,所以一直存在逻辑漏洞。
2.逻辑漏洞的分类
①验证机制缺陷;②会话管理缺陷;③权限管理缺陷;④业务逻辑缺陷
三、验证机制
1.身份标识
who know; who has; who is
2.验证机制
验证机制是信息系统安全机制中最简单、最前沿的一种机制。
最常见的方式是信息系统要求用户提交用户名与密码。用户名与密码正确即可登录,错误则拒绝登录。
四.会话管理
HTTP协议(无连接、无状态、明文传输不安全)
- 无连接:每次连接只处理一个请求。服务器处理完客户的请求,并收到客户端的应答后,断开连接。节省传输时间。
- 无状态:
①指协议对于事务处理没有记忆力,服务器不知道客户端是什么状态;
②我们给服务器发送HTTP请求后,服务器根据请求,会发送数据过来,但是发送完不会记录任何信息。 - 会话:最简单最常见的方式是每名用户一个唯一会话令牌标识符,每一个请求中都提交这个令牌。
五.权限控制
- 从控制力度:
①功能级权限管理;②数据级权限管理 - 从控制方向
①从系统获取数据;②向系统提交数据
六.业务逻辑
每个业务系统都具有不同的业务逻辑,而业务逻辑背后都是人的逻辑。