博客

OWASP十大WEB程序安全风险之五:失效的访问控制

2021-10-19 | 作者: Jason Lu

要避免中断访问控制的发生,至关重要的是在整个开发过程中为你的应用程序选择并坚持使用一种访问控制模式,并持续不断地测试它以确保少有故障点。四种标准的访问控制模式包括强制访问控制(MAC)、基于角色的访问控制(RBAC)、自主访问控制(DAC)以及基于规则的访问控制(RBAC或RB-RBAC)。每种模式都有优点和弱点,必须根据你的系统设计和用途仔细地进行选择。

攻击示例

部分检查访问控制(黑名单模式)是有风险的。如果开发人员添加了其它一些页面但忘记更新访问控制逻辑,则可能会有可行的漏洞,即没有适当访问权限的用户仍然可以访问这些页面并执行恶意操作。

 

上一篇OWASP文章:OWASP第四篇之“XML 外部实体 (XXE)”

要了解有关OWASP以及爱科识如何帮助您防止此类漏洞的更多信息,请点击此处

通过使用我们的网站,表明您已经阅读并理解我们的Cookie政策及隐私政策