三、驗證機制
四.會話管理
五.許可權控制
六.業務邏輯
訪問在某種程度上來說,資訊保安就是通過如何訪問資訊資源來防範資源洩露或未經授權修改的工作。訪問就是主體(subiect)和客體(object)之間的資訊流動,主體是訪問中主動的實體,可以是程式、程序等;客體是被動的實體,可以是檔案、光碟、資料庫等。
訪問控制
主體訪問客體通常需要4個步驟:身份標識(identification)、身份驗證(authentication)、授權(authorization)、審計(accountability)。
訪問控制模型
訪問控制模型是規定主體如何訪問客體的一種架構,目前主要分為三種:
①自主訪問控制(dac)
由客體的屬主自主的對客體進行管理,自主的決定是否將訪問許可權授予其他主體。
②強制訪問控制(mac)
安全策略由管理員配置,訪問控制由系統實施,安全策略是高於一切的存在。
③角色型訪問控制(rbac)
使用集中管理的控制方式來決定主體和客體如何互動,更多的用於企業中,根據不同的職位來分配不同的許可權。
長話短說:**之後是人的邏輯,人更容易犯錯,所以一直存在邏輯漏洞。
①驗證機制缺陷;②會話管理缺陷;③許可權管理缺陷;④業務邏輯缺陷
who know; who has; who is
驗證機制是資訊系統安全機制中最簡單、最前沿的一種機制。
最常見的方式是資訊系統要求使用者提交使用者名稱與密碼。使用者名稱與密碼正確即可登入,錯誤則拒絕登入。
http協議(無連線、無狀態、明文傳輸不安全)
無連線:每次連線只處理乙個請求。伺服器處理完客戶的請求,並收到客戶端的應答後,斷開連線。節省傳輸時間。
無狀態:
①指協議對於事務處理沒有記憶力,伺服器不知道客戶端是什麼狀態;
②我們給伺服器傳送http請求後,伺服器根據請求,會傳送資料過來,但是傳送完不會記錄任何資訊。
會話:最簡單最常見的方式是每名使用者乙個唯一會話令牌識別符號,每乙個請求中都提交這個令牌。
從控制力度:
①功能級許可權管理;②資料級許可權管理
從控制方向
①從系統獲取資料;②向系統提交資料
每個業務系統都具有不同的業務邏輯,而業務邏輯背後都是人的邏輯。
邏輯漏洞挖掘
邏輯漏洞就是攻擊者利用業務的設計缺陷,獲取敏感資訊或破壞業務的完整性。一般會有密碼修改,越權訪問,密碼找回,交易支付金額 俗稱薅羊毛 等。其中的越權訪問又有水平越權和垂直越權。檢測水平越權 檢測垂直越權 前端的js 中會有開發人員的痕跡,一些像邏輯驗證,審查的函式語句都會存在注釋,即使看不懂js語句...
業務邏輯漏洞
業務邏輯漏洞是一類特殊的安全漏洞,業務邏輯漏洞屬於設計漏洞而非實現漏洞,是業務邏輯設計不嚴謹導致的漏洞。大多數業務邏輯漏洞沒有明顯的攻擊特徵,難以通過漏洞掃瞄的方式發現,也難以通過安全裝置來防護。繞過驗證 主要指身份驗證體系設計存在缺陷,可以使用某些技術手段繞過驗證機制冒用他人身份。越權訪問 主要指...
邏輯漏洞挖掘
邏輯漏洞挖掘經驗我總結了以下幾點 1 開啟 先觀察,先了解 的各種功能,知彼知己,方而漏洞多多。2 初步試著先使用這些功能,如果你使用瀏覽器,記得把審核元素開啟,小心認真的觀察點選功能點的時候網路中的各種請求,注意post資料,因為它提交的資料是隱藏的,沒那麼直觀,所以這個時候要小心,說不好一不小心...