Access Control Flaws
Access Control Flaw:访问控制缺陷 角色的访问 控制方案: 个角色代表一组访问权限和特权, 单个用户可以设置多个角色。 角色访问控制方案由:角色权限管理,角色分配 构成 目前访问控制出现问题的地方一般在:事务,资源。 事务:值操作,比如:delete,mo
Access Control Flaw:访问控制缺陷
角色的访问控制方案:个角色代表一组访问权限和特权,单个用户可以设置多个角色。
角色访问控制方案由:角色权限管理,角色分配 构成
目前访问控制出现问题的地方一般在:事务,资源。
事务:值操作,比如:delete,modified等
资源:好理解,就是访问的内容,有一个标志,比如:ID,Name
水平权限概念
URL中若包含用户身份标识,通过修改该标识来达到转换身份的目的
URL或请求中包含资源ID,通过修改该ID来达到跨身份的操作资源
垂直权限概念
复制其他不同角色的URL或请求,在普通用户身份时发起,检查是否越权
Webgoat中的内容:
1、Using an Access Control Matrix
找出除了admin以外,角色是[User, Manager],可以访问Account Manager资源的用户
2、Bypass a Path Based Access Control Scheme
尝试访问服务器文件,比如tomcat/conf/tomcat-users.xml
3、LAB: Role Based Access Control
Bypass Business Layer Access Control:绕过事务层
Bypass Data Layer Access Control:绕过数据层
4、Remote Admin Access
直接在URL中加一个参数&admin=true, 试图使用管理员身份访问该页面