成都網(wǎng)站建設(shè)公司在進行
網(wǎng)站設(shè)計過程中一些應(yīng)用程序在Web服務(wù)器或應(yīng)用程序平臺層使用控件控制訪問。通常,應(yīng)用程序會根據(jù)用戶的角色來限制對特定URL路徑的訪問。例如,在用戶不屬于“管理員”組,訪問/admin路徑的情趣可能會遇到拒絕,原則上,這是完全符合合法的訪問控制方法。但是,在配置平臺級控件時發(fā)現(xiàn)錯誤,這時可能導(dǎo)致未授權(quán)訪問。
正常情情況下,平臺級配置與防火墻策略類似,它們基于以下允許或拒絕訪問請求:
*HTTP請求方法;
*URL路徑;
*用戶角色。
GET方法的最初目的是檢索信息,而POST方法的目的是執(zhí)行更改應(yīng)用程序的數(shù)據(jù)或狀態(tài)的操作。
由于大多數(shù)用于檢索請求參數(shù)的應(yīng)用程序級API對于方法提交并無限制,以基于正確的HTTP方法和URL路徑允許訪問,就可能會導(dǎo)致未授權(quán)訪問,因此,攻擊者只需在GET要請求的URL查詢字符串提供所需參數(shù),就可以未授權(quán)使用功能。
即使平臺級規(guī)則拒絕訪問GET和POST方法,應(yīng)用程序仍然有可能受到攻擊。根據(jù)規(guī)范,服務(wù)器應(yīng)使用它們用于響應(yīng)對應(yīng)的GET請求的相同消息頭來響應(yīng)HEAD請求。因此,大多數(shù)平臺都能夠正確處理HEAD請求,即執(zhí)行對應(yīng)的GET處理程序并返回生成HTTP消息頭。如果攻擊者能夠使用HEAD請求增加一個管理用戶賬戶,那么,即使在請求中未收到任何消息主體,他仍然能夠成功實施攻擊。
某些情況下,對于使用無法識別的HTTP方法的請求,平臺會直接將它們交由GER請求處理程序,在這種情況下,通過再請求中指定任意無效的HTTP方法,就可以避開拒絕某些指定的HTTP方法的平臺級控制。
分享標(biāo)題:Web應(yīng)用程序平臺配置的錯誤
當(dāng)前鏈接:http://m.newbst.com/news38/159138.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站改版、企業(yè)建站、移動網(wǎng)站建設(shè)、搜索引擎優(yōu)化、建站公司、ChatGPT
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源:
創(chuàng)新互聯(lián)