訪問控制可分為三大類：垂直訪問控制、水平訪問控制和上下相關的訪問控制。                    
  垂直訪問控制允許各種類型的用戶訪問應用程序的不同功能。在簡單的情況下，應用程序通過這種控制界定普通用戶和管理員。在更加復雜的情況下，垂直訪問控制可能需要界點允許其訪問特殊功能的各種不同類型的用戶，給每個用戶分配一個單獨的角色，或一組不同的角色。                            
  水平訪問控制允許用戶訪問一組相同類型的、內(nèi)容極其廣泛的資源。例如，Web郵件應用程序允許訪問自己而非他人的電子郵件；電子銀行只允許轉(zhuǎn)移自己賬戶內(nèi)的資金；工作流程應用程序允許更新分配給你的任務，但只能閱讀分配給他人的任務。                                                                                                           上下文相關的訪問控制科確?；趹贸绦虍斍暗臓顟B(tài)，將用戶訪問僅限于所允許的內(nèi)容。例如，如果在某個過程中，用戶需要完成多個階段的操作，上下文相關的訪問控制可以防止用戶不按規(guī)定的順序訪問這階段。                                                                                                                                                     許多時候，垂直與水平訪問控制相互交疊。如果用戶能夠訪問他無權訪問的功能或資源，就表示訪問控制存在缺陷。主要有三種類型的一訪問控制位目標的攻擊，分別與三種訪問控制相對應。              
  1、如果一名用戶能夠執(zhí)行某種功能，但分配給他的角色并不具有這種權限，就表示出現(xiàn)垂直權限提升漏洞。                                                                           2、如果一名用戶能夠查看或修改他沒有資格查看或修改的資源，就表示出現(xiàn)水平權限提升漏洞。      
  3、如果用戶可以利用應用程序狀態(tài)機中的漏洞獲得關鍵資源的訪問權限，就表示出現(xiàn)業(yè)務邏輯漏洞。  
 許多時候，應用程序水平的權限劃分中存在的漏洞可能會立即引起垂直權限提升攻擊。不完整的訪問控制使得某種用戶權限的攻擊者能夠執(zhí)行未授權操作或訪問未授權數(shù)據(jù)。但是，不完整的訪問控制可能允許完全未獲授權的用戶訪問只有特權用戶才能訪問的功能或數(shù)據(jù)。

網(wǎng)頁題目：Web應用程序中常見的漏洞
瀏覽地址：http://aaarwkj.com/news40/168290.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站策劃、建站公司、做網(wǎng)站、外貿(mào)建站、關鍵詞優(yōu)化、自適應網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)