URL用戶訪問的敏感功能和數據
2022-06-01 分類: 網站建設
在許多的訪問控制下不完善情況下,敏感功能和數據可被任何知道相關URL的用戶訪問。比如在許多應用程序中,任何人只需訪問一個特定的URL就能夠完全控制它的管理功能:
https://wahh-app.com/admin/
在這種情況下,應用程序通常僅實施如下訪問控制:以管理員的身份登錄的用戶在他們的用戶界面上看到一給該URL的鏈接,而其他用戶無法看到這個鏈接。這種細微的差別是應用程序用于“防止”敏感功能被未授權使用的唯一機制。
有時候,允許用戶訪問強大的功能的URL可能很難猜測,相當隱蔽,這種情況下,開發者假設攻擊者無法知道或發行這個URL,管理功能就會因此受到保護。
一些應用程序的敏感功能隱藏在各種不太同意猜測的URL之后,但攻擊者通過仔細檢查客戶端代碼還是可以發現這些URL。許多應用程序使用JavaScript在客戶端動態建立用戶界面。它一般建立各種與用戶狀態有關的標記,然后根據這些標記在用戶界面中增加不同的元素。
如果其他功能不由Web應用程序客戶端直接調用,這些功能也可以調用,并不受任何控制的保護。一般情況下,用戶只需能夠訪問某些特定的方法,但他們卻擁有范圍所有的權限。
https://wahh-app.com/admin/
在這種情況下,應用程序通常僅實施如下訪問控制:以管理員的身份登錄的用戶在他們的用戶界面上看到一給該URL的鏈接,而其他用戶無法看到這個鏈接。這種細微的差別是應用程序用于“防止”敏感功能被未授權使用的唯一機制。
有時候,允許用戶訪問強大的功能的URL可能很難猜測,相當隱蔽,這種情況下,開發者假設攻擊者無法知道或發行這個URL,管理功能就會因此受到保護。
一些應用程序的敏感功能隱藏在各種不太同意猜測的URL之后,但攻擊者通過仔細檢查客戶端代碼還是可以發現這些URL。許多應用程序使用JavaScript在客戶端動態建立用戶界面。它一般建立各種與用戶狀態有關的標記,然后根據這些標記在用戶界面中增加不同的元素。
如果其他功能不由Web應用程序客戶端直接調用,這些功能也可以調用,并不受任何控制的保護。一般情況下,用戶只需能夠訪問某些特定的方法,但他們卻擁有范圍所有的權限。
本文標題:URL用戶訪問的敏感功能和數據
文章路徑:http://m.2m8n56k.cn/news25/162075.html
成都網站建設公司_創新互聯,為您提供網站制作、網站收錄、小程序開發、企業網站制作、動態網站、ChatGPT
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯
猜你還喜歡下面的內容
- 公眾號掉粉快的原因有哪些 2022-06-01
- 網頁設計中有哪幾種常用的圖片格式 2022-06-01
- 傳統企業利用互聯網推廣營銷網站需做好哪些關鍵點? 2022-06-01
- 軟文推廣實戰經驗 5步詳解 2022-05-31
- 頁面表單的使用技巧,個性化表單的幾個技巧 2022-05-31
- 企業如何做SEO優化能夠快速提升網站的排名?需掌握哪些技巧? 2022-05-31
- 淺談SNS社交網站定位及運營 2022-06-01
- 網站優化過程中會出現的錯誤有哪些? 2022-06-01
- 網站更換域名需要注意哪些事項? 2022-06-01
- app移動端導航之漢堡圖標設計 2022-06-01
- 百度惡意點擊如何處理和預防 2022-05-31
- 關于微信營銷你所不知道的10條技巧 2022-05-31
- 如何才能精準提高網站回頭率 2022-05-31
- 網站降權如何分析原因 2022-05-31
- 企業怎么才能選擇一家專業可靠的網絡運營托管公司? 2022-05-31
- 無錫百度推廣該如何選擇 2022-05-31
- 網站SEO都需要用到哪些SEO工具? 2022-05-31
- BtoB創新模式興起.網絡規模經濟時代到來 2022-05-31
- 在無錫設計網站要注意哪些原則? 2022-05-31