URL用戶訪問的敏感功能和數(shù)據(jù)

2022-06-01    分類: 網(wǎng)站建設(shè)

在許多的訪問控制下不完善情況下,敏感功能和數(shù)據(jù)可被任何知道相關(guān)URL的用戶訪問。比如在許多應(yīng)用程序中,任何人只需訪問一個特定的URL就能夠完全控制它的管理功能:
https://wahh-app.com/admin/
在這種情況下,應(yīng)用程序通常僅實施如下訪問控制:以管理員的身份登錄的用戶在他們的用戶界面上看到一給該URL的鏈接,而其他用戶無法看到這個鏈接。這種細(xì)微的差別是應(yīng)用程序用于“防止”敏感功能被未授權(quán)使用的唯一機(jī)制。
有時候,允許用戶訪問強(qiáng)大的功能的URL可能很難猜測,相當(dāng)隱蔽,這種情況下,開發(fā)者假設(shè)攻擊者無法知道或發(fā)行這個URL,管理功能就會因此受到保護(hù)。
一些應(yīng)用程序的敏感功能隱藏在各種不太同意猜測的URL之后,但攻擊者通過仔細(xì)檢查客戶端代碼還是可以發(fā)現(xiàn)這些URL。許多應(yīng)用程序使用JavaScript在客戶端動態(tài)建立用戶界面。它一般建立各種與用戶狀態(tài)有關(guān)的標(biāo)記,然后根據(jù)這些標(biāo)記在用戶界面中增加不同的元素。
如果其他功能不由Web應(yīng)用程序客戶端直接調(diào)用,這些功能也可以調(diào)用,并不受任何控制的保護(hù)。一般情況下,用戶只需能夠訪問某些特定的方法,但他們卻擁有范圍所有的權(quán)限。

文章名稱:URL用戶訪問的敏感功能和數(shù)據(jù)
網(wǎng)站地址:http://bm7419.com/news/162075.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供商城網(wǎng)站、全網(wǎng)營銷推廣、Google、網(wǎng)站改版網(wǎng)站設(shè)計公司、網(wǎng)站導(dǎo)航

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

成都app開發(fā)公司