URL用戶訪問的敏感功能和數(shù)據(jù)

2022-06-01 分類：網(wǎng)站建設(shè)

在許多的訪問控制下不完善情況下，敏感功能和數(shù)據(jù)可被任何知道相關(guān)URL的用戶訪問。比如在許多應(yīng)用程序中，任何人只需訪問一個(gè)特定的URL就能夠完全控制它的管理功能：
https://wahh-app.com/admin/
在這種情況下，應(yīng)用程序通常僅實(shí)施如下訪問控制：以管理員的身份登錄的用戶在他們的用戶界面上看到一給該URL的鏈接，而其他用戶無法看到這個(gè)鏈接。這種細(xì)微的差別是應(yīng)用程序用于“防止”敏感功能被未授權(quán)使用的唯一機(jī)制。
有時(shí)候，允許用戶訪問強(qiáng)大的功能的URL可能很難猜測，相當(dāng)隱蔽，這種情況下，開發(fā)者假設(shè)攻擊者無法知道或發(fā)行這個(gè)URL，管理功能就會(huì)因此受到保護(hù)。
一些應(yīng)用程序的敏感功能隱藏在各種不太同意猜測的URL之后，但攻擊者通過仔細(xì)檢查客戶端代碼還是可以發(fā)現(xiàn)這些URL。許多應(yīng)用程序使用JavaScript在客戶端動(dòng)態(tài)建立用戶界面。它一般建立各種與用戶狀態(tài)有關(guān)的標(biāo)記，然后根據(jù)這些標(biāo)記在用戶界面中增加不同的元素。
如果其他功能不由Web應(yīng)用程序客戶端直接調(diào)用，這些功能也可以調(diào)用，并不受任何控制的保護(hù)。一般情況下，用戶只需能夠訪問某些特定的方法，但他們卻擁有范圍所有的權(quán)限。

本文標(biāo)題：URL用戶訪問的敏感功能和數(shù)據(jù)
文章路徑：http://chinadenli.net/news25/162075.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站制作、網(wǎng)站收錄、小程序開發(fā)、企業(yè)網(wǎng)站制作、動(dòng)態(tài)網(wǎng)站、ChatGPT

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容

欧美一区二区三区老妇人-欧美做爰猛烈大尺度电-99久久夜色精品国产亚洲a-亚洲福利视频一区二区

URL用戶訪問的敏感功能和數(shù)據(jù)