URL用戶訪問(wèn)的敏感功能和數(shù)據(jù)

2022-06-01    分類: 網(wǎng)站建設(shè)

在許多的訪問(wèn)控制下不完善情況下,敏感功能和數(shù)據(jù)可被任何知道相關(guān)URL的用戶訪問(wèn)。比如在許多應(yīng)用程序中,任何人只需訪問(wèn)一個(gè)特定的URL就能夠完全控制它的管理功能:
https://wahh-app.com/admin/
在這種情況下,應(yīng)用程序通常僅實(shí)施如下訪問(wèn)控制:以管理員的身份登錄的用戶在他們的用戶界面上看到一給該URL的鏈接,而其他用戶無(wú)法看到這個(gè)鏈接。這種細(xì)微的差別是應(yīng)用程序用于“防止”敏感功能被未授權(quán)使用的唯一機(jī)制。
有時(shí)候,允許用戶訪問(wèn)強(qiáng)大的功能的URL可能很難猜測(cè),相當(dāng)隱蔽,這種情況下,開(kāi)發(fā)者假設(shè)攻擊者無(wú)法知道或發(fā)行這個(gè)URL,管理功能就會(huì)因此受到保護(hù)。
一些應(yīng)用程序的敏感功能隱藏在各種不太同意猜測(cè)的URL之后,但攻擊者通過(guò)仔細(xì)檢查客戶端代碼還是可以發(fā)現(xiàn)這些URL。許多應(yīng)用程序使用JavaScript在客戶端動(dòng)態(tài)建立用戶界面。它一般建立各種與用戶狀態(tài)有關(guān)的標(biāo)記,然后根據(jù)這些標(biāo)記在用戶界面中增加不同的元素。
如果其他功能不由Web應(yīng)用程序客戶端直接調(diào)用,這些功能也可以調(diào)用,并不受任何控制的保護(hù)。一般情況下,用戶只需能夠訪問(wèn)某些特定的方法,但他們卻擁有范圍所有的權(quán)限。

本文標(biāo)題:URL用戶訪問(wèn)的敏感功能和數(shù)據(jù)
文章路徑:http://bm7419.com/news25/162075.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站制作、網(wǎng)站收錄、小程序開(kāi)發(fā)企業(yè)網(wǎng)站制作、動(dòng)態(tài)網(wǎng)站、ChatGPT

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

商城網(wǎng)站建設(shè)