特权提升减缓
特权提升减缓
提问于 2016-01-19 12:43:30
web应用程序中防止权限升级漏洞的最佳保护措施是什么。基本上,我能够将JSON格式的HTTP响应从用户ID更改为ADMIN ID,以访问管理帐户系统。
回答 1
Security用户
回答已采纳
发布于 2016-01-19 13:04:35
在某种程度上,你通常会说3点:
- 鉴定
- 认证
- 授权
您缺少了第2点/“永远不要信任客户端”:您通过ID标识客户端,并根据从客户端发送的ID授予他权限。就像你看到的那样,这失败了,因为客户可以撒谎。最常见的网站认证解决方案是:
- 发送带有请求的密码之类的身份验证令牌,并检查SERVERSIDE
- 使用会话(如cookie)和检查SERVERSIDE
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/111113
复制相关文章
相似问题
腾讯云开发者
