Kontrol Akses Tingkat Fungsi Hilang

Sebagian besar aplikasi web memverifikasi hak akses tingkat fungsi sebelum membuat fungsionalitas tersebut dapat diakses oleh pengguna. Namun, jika pemeriksaan kontrol akses yang sama tidak dilakukan pada server, peretas dapat masuk ke dalam aplikasi tanpa otorisasi yang tepat.

Mari kita pahami Agen Ancaman, Vektor Penyerang, Kelemahan Keamanan, Dampak Teknis, dan Dampak Bisnis dari kelemahan ini dengan bantuan diagram sederhana.

Contoh

Berikut adalah contoh klasik Kontrol Akses Tingkat Fungsi yang Hilang -

Peretas hanya memaksa URL target. Biasanya akses admin memerlukan otentikasi, namun jika akses aplikasi tidak diverifikasi, maka pengguna yang tidak berkepentingan dapat mengakses halaman admin.

' Below URL might be accessible to an authenticated user
http://website.com/app/standarduserpage

' A NON Admin user is able to access admin page without authorization.
http://website.com/app/admin_page

Tangan di atas

Step 1 - Izinkan kami masuk sebagai pengelola akun dengan terlebih dahulu menelusuri daftar pengguna dan hak akses mereka.

Step 2 - Setelah mencoba berbagai kombinasi, kami dapat mengetahui bahwa Larry memiliki akses ke pengelola akun sumber daya.

Mekanisme Pencegahan

  • Mekanisme otentikasi harus menolak semua akses secara default, dan memberikan akses ke peran tertentu untuk setiap fungsi.

  • Dalam aplikasi berbasis alur kerja, verifikasi status pengguna sebelum mengizinkan mereka mengakses sumber daya apa pun.

ja/tutorial
es/tutorial
de/tutorial
fr/tutorial
th/tutorial
pt/tutorial
ru/tutorial
vi/tutorial
it/tutorial
ko/tutorial
tr/tutorial
id/tutorial
pl/tutorial
hi/tutorial
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved