網(wǎng)站SEO優(yōu)化

網(wǎng)站seo優(yōu)化越權(quán)防范

發(fā)布：2020-05-31 17:36:42 瀏覽：3300

越權(quán)防范。越權(quán)的威脅在于一個賬戶即可控制全站用戶數(shù)據(jù)，當然這些數(shù)據(jù)僅限于存在漏洞功能對應(yīng)的數(shù)據(jù)。越權(quán)漏洞的成因主要是因為開發(fā)人員在對數(shù)據(jù)進行增、刪、改、查詢時對客戶端請求的數(shù)據(jù)過分相信而遺漏了權(quán)限的判定。針對越權(quán)漏洞產(chǎn)生的原因制定出響應(yīng)的防范措施。
  (1）通過采用類似spring security等成熟的權(quán)限管理框架，規(guī)范系統(tǒng)的用戶權(quán)限。
  (2）可以從用戶的加密認證cookie中獲取當前用戶id，防止攻擊者對其修改。或在session、cookie中加入不可預(yù)測的user信息。
  (3）每次頁面訪問時對用戶權(quán)限進行驗證，采用表單或其他參數(shù)提交用戶進行訪問操作的憑證時，應(yīng)盡可能采用難以猜測的構(gòu)造方式（增加字母及隨機數(shù)字等）或采用復(fù)雜的加密算法加密后提交，在客戶端和服務(wù)器端對提交的憑證或會話的權(quán)限進行驗證。
  (4）對管理功能模塊進行嚴格的權(quán)限驗證，如非必要建議不對互聯(lián)網(wǎng)開放或進行網(wǎng)絡(luò)層的訪問控制。

>>> 查看《網(wǎng)站seo優(yōu)化越權(quán)防范》更多相關(guān)資訊 <<<

本文地址：http://www.finger78.cn/news/html/17645.html

上一個：網(wǎng)站seo優(yōu)化視頻與音頻的嵌入下一個：網(wǎng)站seo優(yōu)化文件白名單校驗