Eksik İşlev Seviyesi Erişim Kontrolü

Web uygulamalarının çoğu, bu işlevi kullanıcı için erişilebilir hale getirmeden önce işlev düzeyi erişim haklarını doğrular. Bununla birlikte, aynı erişim kontrol kontrolleri sunucuda yapılmazsa, bilgisayar korsanları uygun yetkilendirme olmadan uygulamaya girebilir.

Bu kusurun Tehdit Ajanlarını, Saldırı Vektörlerini, Güvenlik Zafiyetini, Teknik Etkisini ve İş Etkilerini basit bir şema yardımıyla anlayalım.

Misal

İşte Eksik İşlev Düzeyi Erişim Denetimi'nin klasik bir örneği -

Bilgisayar korsanı, hedef URL'leri zorlar. Genellikle yönetici erişimi kimlik doğrulaması gerektirir, ancak uygulama erişimi doğrulanmazsa, kimliği doğrulanmamış bir kullanıcı yönetici sayfasına erişebilir.

' Below URL might be accessible to an authenticated user
http://website.com/app/standarduserpage

' A NON Admin user is able to access admin page without authorization.
http://website.com/app/admin_page

Eller AÇIK

Step 1 - Önce kullanıcı listesini ve erişim ayrıcalıklarını gözden geçirerek hesap yöneticisi olarak oturum açalım.

Step 2 - Çeşitli kombinasyonları denedikten sonra, Larry'nin kaynak hesap yöneticisine erişimi olduğunu öğrenebiliriz.

Önleyici Mekanizmalar

  • Kimlik doğrulama mekanizması varsayılan olarak tüm erişimi reddetmeli ve her işlev için belirli rollere erişim sağlamalıdır.

  • İş akışı tabanlı bir uygulamada, herhangi bir kaynağa erişmelerine izin vermeden önce kullanıcıların durumunu doğrulayın.

ja/tutorial
es/tutorial
de/tutorial
fr/tutorial
th/tutorial
pt/tutorial
ru/tutorial
vi/tutorial
it/tutorial
ko/tutorial
tr/tutorial
id/tutorial
pl/tutorial
hi/tutorial
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved