@CI
2年前 提问
1个回答

功能级访问控制缺失漏洞是什么

一颗小胡椒
2年前

功能级访问控制缺失漏洞又称为缺失功能级访问控制漏洞,指大部分Web应用都会在客户端检查访问权限,但是在服务器端没有执行相应的访问控制。简单说大多数Web应用程序的功能在UI页面显示之前,会验证功能级别的访问权限。但是应用程序需要在每个功能被访问时在服务器端执行相同的访问控制检查。如果请求没有被验证,攻击者能够伪造请求从而在未经适当授权时访问功能,如果发生在后台,还能够访问到正常用户才能访问的页面。

预防功能级访问控制缺失漏洞措施有以下这些:

  • 对于每个功能的访问,需要明确授予特定角色的访问权限。默认情况下,身份验证机制应拒绝所有访问,并为每个功能提供对特定角色的访问权限,如果没有则需要进行设置。

  • 如果某个功能参与了工作流程,检查并确保授权访问此功能的合适状态。并且检查该功能的访问控制是否有缺失,如果有尽快修复。

  • 设计严格的权限控制系统,对于每个请求和URL都要进行校验和权限确认,防止非法请求被执行,可以按照最小特权原则来实施,保证每个权限拥有最小的权限不能越权访问。

  • 对于每个功能的访问,都要有明确的角色授权,采用过滤器的方式校验每个请求的合法性,防止用户进行非法请求,或者防止未授权用户发出请求。

  • 实现Web访问的IP白名单列表,禁止不可信的IP访问Web系统,发现非白名单内的ip地址访问时可以将其封禁,如有非白名单内的合法ip想要访问时需提前联系管理员,让管理员将其ip地址加入到白名单内部。