日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
管理后臺常見漏洞

這里說的管理后臺主要是指供企業(yè)內部用戶使用的ToB類的系統(tǒng),如OA、人力資源管理系統(tǒng)、財務系統(tǒng)、ERP系統(tǒng)等。長期以來,管理后臺功能臃腫,不受重視,功能由不同的團隊開發(fā)、使用第三方組件甚至直接是購買的第三方公司開發(fā)的系統(tǒng)。各種原因疊加之下導致它常常成為系統(tǒng)漏洞的高發(fā)區(qū)。拿JAVA來說,早期的管理后臺大多由Java + JSP開發(fā),新的技術棧則主要使用前后端分離的方式,前端使用如VUE等前端框架,后端則主要提供Rest接口的方式與前端交互。前后端分離后對管理后臺的權限管理方式也產生了較大的影響。

創(chuàng)新互聯(lián)主要從事成都做網(wǎng)站、成都網(wǎng)站建設、網(wǎng)頁設計、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務。立足成都服務興縣,10多年網(wǎng)站建設經驗,價格優(yōu)惠、服務專業(yè),歡迎來電咨詢建站服務:18980820575

權限問題

一個功能完整的管理后臺通常都會有菜單、按鈕的權限管理,對某個角色或用戶,可以控制菜單或按鈕的顯示和隱藏。這些只是用戶可見的部分,稍有經驗的技術人員會直接在地址欄輸入URL的方式來繞過表面的限制。比如正常情況下A只能訪問URLA,B只能訪問URLB,A只需要猜測得到URLB直接輸入地址就進入了他不該有權限看到的頁面。如果管理后臺是前后端分離的,而且URL又是純前端地址,那這種方式是防不住的,只能做好接口權限。

接口權限,是限制用戶只能調用有權限的接口。這樣可以有效避免非法的訪問和調用,保護系統(tǒng)接口數(shù)據(jù)安全。要做到接口權限安全,通常會在每個接口調用時增加權限判斷,有經驗的程序員或使用注解或使用AOP配置的方式簡化編碼,但還是比較麻煩。如果接口沒做權限控制或者只限制了登錄的用戶就有權限訪問該接口,那普通用戶只需要用猜測等方法得到了敏感接口地址,就能調用管理員才能調用的接口。

比接口權限更麻煩的是數(shù)據(jù)權限,數(shù)據(jù)權限是將行級數(shù)據(jù)權限和用戶或角色進行綁定,限制用戶只能訪問和操作自己管轄范圍內的數(shù)據(jù)。用戶A對接口B有訪問權限,不代理用戶A對接口B能返回的所有數(shù)據(jù)都有權限,所以也可以說數(shù)據(jù)權限是更細粒度的接口權限。但是一般不能通過增加多個接口的方式來實現(xiàn)數(shù)據(jù)權限,因為角色或用戶太多了。數(shù)據(jù)權限需要在建模時就提前設計,會通過增加列的方式標識能訪問該行數(shù)據(jù)的權限級別。如果系統(tǒng)沒做好數(shù)據(jù)權限,對攻擊者來說最簡單的利用方式就是把接口的入?yún)⒏牧?。比如某用戶具有組織架構管理的權限能看到廣州分公司的組織架構,該功能調用的接口是:http://moext.com/org.jsp?root=020,他只需要改成http://moext.com/org.jsp?root=1(假設1是根組織),那就能看到全國的組織架構了。

另外一個權限問題高發(fā)區(qū)是“我的資料“功能,通常來說“我的資料“只需要從session中取用戶,再按用戶查詢信息即可。但有些缺乏經驗的程序員估計是為了復用用戶管理查看用戶信息的功能,把用戶ID暴露給前端,由前端傳用戶ID過來查我的信息。據(jù)說早些年就有某公司程序員在公司的OA上利用這個漏洞拿到了整個公司員工的私密信息。

富文本編輯器

富文本編輯器可以允許用戶使用不同的字體、顏色、大小和其他格式來編輯文本,同時還可以插入圖片、視頻等多種媒體類型,功能非常豐富。但是,正是由于功能豐富,我們無法像防XSS攻擊一樣過濾特殊字符,而且這些編輯器的附件上傳功能通常是固化的,我們沒辦法做過多的限制。所以富文本編輯是XSS漏洞和文件上傳漏洞的高發(fā)區(qū)。

功能豐富的查詢條件

同樣實現(xiàn)多查詢條件下的X功能管理列表,在編碼使用SQL拼接條件比用預編譯占位的方式要方便太多了,但是前者雖然方便簡單了但又引入了SQL注入漏洞。筆者甚至見過某知名的OA系統(tǒng),它的工作流管理功能非常強大,但分析后發(fā)現(xiàn)管理員在前端加個審批節(jié)點后端是通過DDL建個臨時表的方式實現(xiàn)的。攻擊者可以輕松地修改表結構、刪除數(shù)據(jù)等。這種既存在SQL注入漏洞又具有DDL權限的系統(tǒng)在一些舊的OA、ERP、人力資源管理系統(tǒng)上也不在少數(shù)。


文章題目:管理后臺常見漏洞
網(wǎng)站地址:http://www.5511xx.com/article/coeddsj.html