网页访问权限怎么管理?

 我来答
猪八戒网
2023-04-26 · 百度认证:重庆猪八戒网络有限公司官方账号
猪八戒网
猪八戒网(zbj.com)创建于2006年,现已形成猪八戒网、天蓬网和线下八戒工场的“双平台+一社区”服务模式,是中国领先的人才共享平台。
向TA提问
展开全部

越权漏洞一般来说分为两类:

l水平越权

l垂直越权


何为水平越权呢?就是相同权限用户之间在未经授权的情况下,可以访问到一方的资源。比如说同是一个网站的普通用户A和B,A通过越权操作访问了B的信息。


垂直越权呢,就是低权限用户实现了高权限用户的功能。比如普通用户通过越权登录到了管理员页面,实现管理员才能的操作。


常出现的位置在后台功能的展示当中,对数据的增、删、查、改等操作可能会有越权出现。


防护措施一般有以下两种思路:


1、控制参数,加密或者多因素,防止遍历。但参数加密仅仅只能防止的是遍历,并不能真正解决越权,还只是缓解的方式;


2、流量监控。现在有一种防范越权和自动化扫描的方法。这个方法,在开发上不用做任何的越权防范,而且扫描器也无法进行正常网站爬行,目前也有产品推出


通过做nginx代理,获取所有的通讯web流量,并且对http传输的请求、内容进行重写、js混淆加密,对返回所有的连接、参数进行重写,到客户端后,流量能正常解析,浏览器能正常解析,依赖于浏览器的特性,但是扫描器却不知道具体的连接、参数是什么,人工查看源代码时也是混淆过的,发出来的请求也是加密过的,但是到了nginx代理后,会根据加密算法进行解密,也就是web端请求数据也全加密了是吧,明文丢给后端的应用进行处理。

推荐律师服务: 若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询

为你推荐:

下载百度知道APP,抢鲜体验
使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。
扫描二维码下载
×

类别

我们会通过消息、邮箱等方式尽快将举报结果通知您。

说明

0/200

提交
取消

辅 助

模 式