Web應用程序平臺配置的錯誤

2022-05-26 分類：網站建設

成都網站建設公司在進行網站設計過程中一些應用程序在Web服務器或應用程序平臺層使用控件控制訪問。通常，應用程序會根據用戶的角色來限制對特定URL路徑的訪問。例如，在用戶不屬于“管理員”組，訪問/admin路徑的情趣可能會遇到拒絕，原則上，這是完全符合合法的訪問控制方法。但是，在配置平臺級控件時發現錯誤，這時可能導致未授權訪問。
正常情情況下，平臺級配置與防火墻策略類似，它們基于以下允許或拒絕訪問請求：
*HTTP請求方法；
*URL路徑；
*用戶角色。
GET方法的最初目的是檢索信息，而POST方法的目的是執行更改應用程序的數據或狀態的操作。
由于大多數用于檢索請求參數的應用程序級API對于方法提交并無限制，以基于正確的HTTP方法和URL路徑允許訪問，就可能會導致未授權訪問，因此，攻擊者只需在GET要請求的URL查詢字符串提供所需參數，就可以未授權使用功能。
即使平臺級規則拒絕訪問GET和POST方法，應用程序仍然有可能受到攻擊。根據規范，服務器應使用它們用于響應對應的GET請求的相同消息頭來響應HEAD請求。因此，大多數平臺都能夠正確處理HEAD請求，即執行對應的GET處理程序并返回生成HTTP消息頭。如果攻擊者能夠使用HEAD請求增加一個管理用戶賬戶，那么，即使在請求中未收到任何消息主體，他仍然能夠成功實施攻擊。
某些情況下，對于使用無法識別的HTTP方法的請求，平臺會直接將它們交由GER請求處理程序，在這種情況下，通過再請求中指定任意無效的HTTP方法，就可以避開拒絕某些指定的HTTP方法的平臺級控制。

本文名稱：Web應用程序平臺配置的錯誤
當前URL：http://m.kartarina.com/news/159138.html

成都網站建設公司_創新互聯，為您提供Google、網站設計公司、電子商務、品牌網站設計、建站公司、企業建站

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源：創新互聯

猜你還喜歡下面的內容