网页访问权限怎么管理?
2023-04-26 · 百度认证:重庆猪八戒网络有限公司官方账号
越权漏洞一般来说分为两类:
l水平越权
l垂直越权
何为水平越权呢?就是相同权限用户之间在未经授权的情况下,可以访问到一方的资源。比如说同是一个网站的普通用户A和B,A通过越权操作访问了B的信息。
垂直越权呢,就是低权限用户实现了高权限用户的功能。比如普通用户通过越权登录到了管理员页面,实现管理员才能的操作。
常出现的位置在后台功能的展示当中,对数据的增、删、查、改等操作可能会有越权出现。
防护措施一般有以下两种思路:
1、控制参数,加密或者多因素,防止遍历。但参数加密仅仅只能防止的是遍历,并不能真正解决越权,还只是缓解的方式;
2、流量监控。现在有一种防范越权和自动化扫描的方法。这个方法,在开发上不用做任何的越权防范,而且扫描器也无法进行正常网站爬行,目前也有产品推出
通过做nginx代理,获取所有的通讯web流量,并且对http传输的请求、内容进行重写、js混淆加密,对返回所有的连接、参数进行重写,到客户端后,流量能正常解析,浏览器能正常解析,依赖于浏览器的特性,但是扫描器却不知道具体的连接、参数是什么,人工查看源代码时也是混淆过的,发出来的请求也是加密过的,但是到了nginx代理后,会根据加密算法进行解密,也就是web端请求数据也全加密了是吧,明文丢给后端的应用进行处理。