網站seo優化越權防范
日期 : 2020-05-31 18:06:58
越權防范。越權的威脅在于一個賬戶即可控制全站用戶數據,當然這些數據僅限于存在漏洞功能對應的數據。越權漏洞的成因主要是因為開發人員在對數據進行增、刪、改、查詢時對客戶端請求的數據過分相信而遺漏了權限的判定。針對越權漏洞產生的原因制定出響應的防范措施。
(1)通過采用類似spring security等成熟的權限管理框架,規范系統的用戶權限。
(2)可以從用戶的加密認證cookie中獲取當前用戶id,防止攻擊者對其修改。或在session、cookie中加入不可預測的user信息。
(3)每次頁面訪問時對用戶權限進行驗證,采用表單或其他參數提交用戶進行訪問操作的憑證時,應盡可能采用難以猜測的構造方式(增加字母及隨機數字等)或采用復雜的加密算法加密后提交,在客戶端和服務器端對提交的憑證或會話的權限進行驗證。
(4)對管理功能模塊進行嚴格的權限驗證,如非必要建議不對互聯網開放或進行網絡層的訪問控制。
(1)通過采用類似spring security等成熟的權限管理框架,規范系統的用戶權限。
(2)可以從用戶的加密認證cookie中獲取當前用戶id,防止攻擊者對其修改。或在session、cookie中加入不可預測的user信息。
(3)每次頁面訪問時對用戶權限進行驗證,采用表單或其他參數提交用戶進行訪問操作的憑證時,應盡可能采用難以猜測的構造方式(增加字母及隨機數字等)或采用復雜的加密算法加密后提交,在客戶端和服務器端對提交的憑證或會話的權限進行驗證。
(4)對管理功能模塊進行嚴格的權限驗證,如非必要建議不對互聯網開放或進行網絡層的訪問控制。
上一篇:網站seo優化文件白名單校驗
下一篇:網站seo優化視頻與音頻的嵌入
相關文章
精彩導讀
熱門資訊
