偷偷鲁视频成人免费视频_丁香五月缴情伊人_欧美精品一区二区久久不卡_亚洲手机在线观看看片

優(yōu)惠活動(dòng) - 12周年慶本月新客福利
優(yōu)惠活動(dòng) - 12周年慶本月新客福利
優(yōu)惠活動(dòng) - 12周年慶本月新客福利

網(wǎng)站seo優(yōu)化越權(quán)防范

日期 : 2020-05-31 18:06:58
        越權(quán)防范。越權(quán)的威脅在于一個(gè)賬戶(hù)即可控制全站用戶(hù)數(shù)據(jù),當(dāng)然這些數(shù)據(jù)僅限于存在漏洞功能對(duì)應(yīng)的數(shù)據(jù)。越權(quán)漏洞的成因主要是因?yàn)殚_(kāi)發(fā)人員在對(duì)數(shù)據(jù)進(jìn)行增、刪、改、查詢(xún)時(shí)對(duì)客戶(hù)端請(qǐng)求的數(shù)據(jù)過(guò)分相信而遺漏了權(quán)限的判定。針對(duì)越權(quán)漏洞產(chǎn)生的原因制定出響應(yīng)的防范措施。
        (1)通過(guò)采用類(lèi)似spring security等成熟的權(quán)限管理框架,規(guī)范系統(tǒng)的用戶(hù)權(quán)限。
        (2)可以從用戶(hù)的加密認(rèn)證cookie中獲取當(dāng)前用戶(hù)id,防止攻擊者對(duì)其修改?;蛟趕ession、cookie中加入不可預(yù)測(cè)的user信息。
        (3)每次頁(yè)面訪(fǎng)問(wèn)時(shí)對(duì)用戶(hù)權(quán)限進(jìn)行驗(yàn)證,采用表單或其他參數(shù)提交用戶(hù)進(jìn)行訪(fǎng)問(wèn)操作的憑證時(shí),應(yīng)盡可能采用難以猜測(cè)的構(gòu)造方式(增加字母及隨機(jī)數(shù)字等)或采用復(fù)雜的加密算法加密后提交,在客戶(hù)端和服務(wù)器端對(duì)提交的憑證或會(huì)話(huà)的權(quán)限進(jìn)行驗(yàn)證。
        (4)對(duì)管理功能模塊進(jìn)行嚴(yán)格的權(quán)限驗(yàn)證,如非必要建議不對(duì)互聯(lián)網(wǎng)開(kāi)放或進(jìn)行網(wǎng)絡(luò)層的訪(fǎng)問(wèn)控制。

相關(guān)文章