橫向越權與縱向越權

2021-08-09 11:10:33 字數 422 閱讀 7130

橫向越權:橫向越權指的是攻擊者嘗試訪問與他擁有相同許可權的使用者的資源

縱向越權:縱向越權指的是乙個低級別攻擊者嘗試訪問高階別使用者的資源

如何防止橫向越權漏洞:

可通過建立使用者和可操作資源的繫結關係,使用者對任何資源進行操作時,通過該繫結關係確保該資源是屬於該使用者所有的。

對請求中的關鍵引數進行間接對映,避免使用原始關鍵引數名,比如使用索引1代替id值123等

如何防止縱向越權漏洞:

建議使用基於角色訪問控制機制來防止縱向越權攻擊,即預先定義不同的許可權角色,為每個角色分配不同的許可權,每個使用者都屬於特定的角色,即擁有固定的許可權,當使用者執行某個動作或產生某種行為時,通過使用者所在的角色判定該動作或者行為是否允許。

橫向越權與縱向越權安全漏洞

攻擊者嘗試訪問與他擁有相同許可權的使用者的資源例如乙個使用者a可以通過自己訂單號訪問自己的訂單詳情,同時使用者b在知道了a的訂單號之後,可以通過相同的介面訪問到a的訂單詳情,這是十分危險的。經典案例 使用者在修改密碼時會向伺服器傳送使用者名稱和新密碼,如果有惡意使用者截獲了這個修改密碼的介面,就可以...

橫向越權 縱向越權安全漏洞

橫向越權 攻擊者嘗試訪問與他擁有相同許可權的使用者的資源 縱向越權 低級別攻擊者嘗試訪問高階別使用者的資源 橫向越權場景 1 在使用者忘記密碼重置密碼時,回答對了問題進入密碼重置階段時,如果知道其他使用者的使用者名稱,很容易改變此使用者的密碼,然後就可以進行越權訪問了。public serverre...

橫向越權 縱向越權問題解決

橫向越權 橫向越權指的是攻擊者嘗試訪問與他擁有相同許可權的使用者的資源 縱向越權 縱向越權指的是乙個低級別攻擊者嘗試訪問高階別使用者的資源 對於縱向越權,我們可以通過設定使用者角色,為不同的角色提供不同的許可權來避免。對於橫向越權,就比較麻煩了,橫向越權可能出現的場景有 在使用者忘記密碼重置密碼時,...