गुम समारोह स्तर अभिगम नियंत्रण
अधिकांश वेब एप्लिकेशन उपयोगकर्ता के लिए कार्यक्षमता को सुलभ बनाने से पहले फ़ंक्शन स्तर पहुंच अधिकारों को सत्यापित करते हैं। हालाँकि, यदि समान एक्सेस कंट्रोल चेक सर्वर पर नहीं किए जाते हैं, तो हैकर्स उचित प्राधिकरण के बिना आवेदन में घुसने में सक्षम हैं।
आइए हम सरल आरेख की सहायता से इस दोष के थ्रेट एजेंट्स, अटैक वेक्टर्स, सुरक्षा कमजोरी, तकनीकी प्रभाव और व्यावसायिक प्रभावों को समझते हैं।
उदाहरण
यहाँ गुम समारोह स्तर अभिगम नियंत्रण का एक उत्कृष्ट उदाहरण है -
हैकर बस यूआरएल को लक्षित करता है। आमतौर पर व्यवस्थापक एक्सेस को प्रमाणीकरण की आवश्यकता होती है, हालांकि, यदि एप्लिकेशन एक्सेस सत्यापित नहीं है, तो कोई अनहोनी उपयोगकर्ता व्यवस्थापक पृष्ठ तक पहुंच सकता है।
' Below URL might be accessible to an authenticated user
http://website.com/app/standarduserpage
' A NON Admin user is able to access admin page without authorization.
http://website.com/app/admin_page
व्यावहारिक व क्रियाशील
Step 1 - पहले उपयोगकर्ताओं की सूची और उनके उपयोग विशेषाधिकार के माध्यम से जाकर खाता प्रबंधक के रूप में लॉगिन करें।
Step 2 - विभिन्न संयोजनों की कोशिश करने पर हम यह पता लगा सकते हैं कि लैरी के पास संसाधन खाता प्रबंधक तक पहुंच है।
निवारक तंत्र
प्रमाणीकरण तंत्र को डिफ़ॉल्ट रूप से सभी पहुंच से इनकार करना चाहिए, और प्रत्येक फ़ंक्शन के लिए विशिष्ट भूमिकाओं तक पहुंच प्रदान करना चाहिए।
वर्कफ़्लो आधारित अनुप्रयोग में, किसी भी संसाधन तक पहुँचने की अनुमति देने से पहले उपयोगकर्ताओं की स्थिति की जाँच करें।