優(yōu)惠活動(dòng) - 12周年慶本月新客福利
優(yōu)惠活動(dòng) - 12周年慶本月新客福利
優(yōu)惠活動(dòng) - 12周年慶本月新客福利

網(wǎng)站seo優(yōu)化越權防范

日期 : 2020-05-31 18:06:58
        越權防范。越權的威脅在于一個(gè)賬戶(hù)即可控制全站用戶(hù)數據,當然這些數據僅限于存在漏洞功能對應的數據。越權漏洞的成因主要是因為開(kāi)發(fā)人員在對數據進(jìn)行增、刪、改、查詢(xún)時(shí)對客戶(hù)端請求的數據過(guò)分相信而遺漏了權限的判定。針對越權漏洞產(chǎn)生的原因制定出響應的防范措施。
        (1)通過(guò)采用類(lèi)似spring security等成熟的權限管理框架,規范系統的用戶(hù)權限。
        (2)可以從用戶(hù)的加密認證cookie中獲取當前用戶(hù)id,防止攻擊者對其修改?;蛟趕ession、cookie中加入不可預測的user信息。
        (3)每次頁(yè)面訪(fǎng)問(wèn)時(shí)對用戶(hù)權限進(jìn)行驗證,采用表單或其他參數提交用戶(hù)進(jìn)行訪(fǎng)問(wèn)操作的憑證時(shí),應盡可能采用難以猜測的構造方式(增加字母及隨機數字等)或采用復雜的加密算法加密后提交,在客戶(hù)端和服務(wù)器端對提交的憑證或會(huì )話(huà)的權限進(jìn)行驗證。
        (4)對管理功能模塊進(jìn)行嚴格的權限驗證,如非必要建議不對互聯(lián)網(wǎng)開(kāi)放或進(jìn)行網(wǎng)絡(luò )層的訪(fǎng)問(wèn)控制。

相關(guān)文章
国产免费丝袜调教视频爱剪辑|国产小受18asian|国产福利91精品一区二区三区|久久久青草大香|欧美丰满熟妇xxxx性