如何处理网页访问权限?
一般来说,越权漏洞分为两类:
l 水平越权
l 垂直越权
什么是越权水平?也就是说,同一权限的用户可以在未经授权的情况下访问一方的资源。例如,同一网站的普通用户A和B通过越权操作访问B的信息。
垂直越权意味着低权限用户实现了高权限用户的功能。例如,普通用户通过越权登录到治理员页面,以实现治理员的操作。
在后台功能的显示中,经常出现的位置可能会越权出现数据的增加、删除、检查和更改。
防护措施一般有以下两种构思:
1、 掌握参数、加密或多种因素,防止遍历。但参数加密只能防止遍历,不能真正解决越权问题,只能缓解;
2、 流量监控。现在有一种防止越权和自动扫描的方法。这种方法在开发中不需要做任何越权防范,扫描仪也不能爬上正常的网站。目前,一些产品已经推出
通过做nginx代理,获取所有通信web流量,重写http传输的请求和内容,混合js 加密,重写返回的所有连接和参数。到达客户端后,流量可以正常分析,浏览器可以正常分析。这取决于浏览器的特性,但扫描器不知道具体的连接和参数是什么。手动查看源代码也是混合的 过的,发出的请求也是加密的,但是到了nginx代理后,会根据加密算法进行解密,也就是web端请求数据都是加密的,对吧?
0