@苏苏
2年前 提问
1个回答
不安全的直接对象引用漏洞预防措施有哪些
delay
2年前
不安全的直接对象引用漏洞预防措施有以下这些:
避免在URL或网页中直接引用内部文件名或数据库关键字。可使用自定义的映射名称来取代直接对象名,防止将重要的关键字和文件名泄露给用户。
应根据最小权限原则,配置应用程序的访问权限,应禁止访问Web目录之外的文件。保证使用者的权限是最小的,防止用户越权访问其他用户权限,减轻越权带来的危害。
任何来自不可信源的直接对象引用都必须通过访问控制检测,确保该用户对请求的对象有访问权限。如果用户无访问权限则对用户的请求进行忽略,对于哪些不可信的访问都要经过访问控制检测后才能使用。
验证用户输入和URL请求,拒绝包含一些存在非法字符的请求,不要相信用户输入的任何请求,对用户输入的任何请求都要进行验证和过滤后才能使用,这样可以从根本上保证安全。
使用数据脱敏,所有鉴权问题搞定后,数据字段透出最好做到最小化,前端不需要的字段不透出,敏感字段要脱敏。防止攻击者通过敏感数据分析出信息,然后利用漏洞进行攻击。