COMPANY NEWS 公司新闻
Industry News 行业新闻
URL用户访问的敏感功能和数据
发布时间:2014-6-10 12:06:44 |
浏览次数: | 来源:深圳市方与圆网络科技有限公司
在许多的访问控制下不完善情况下,敏感功能和数据可被任何知道相关URL的用户访问。比如在许多应用程序中,任何人只需访问一个特定的URL就能够完全控制它的管理功能:
https://wahh-app.com/admin/
在这种情况下,应用程序通常仅实施如下访问控制:以管理员的身份登录的用户在他们的用户界面上看到一给该URL的链接,而其他用户无法看到这个链接。这种细微的差别是应用程序用于“防止”敏感功能被未授权使用的唯一机制。
有时候,允许用户访问强大的功能的URL可能很难猜测,相当隐蔽,这种情况下,开发者假设攻击者无法知道或发行这个URL,管理功能就会因此受到保护。
一些应用程序的敏感功能隐藏在各种不太同意猜测的URL之后,但攻击者通过仔细检查客户端代码还是可以发现这些URL。许多应用程序使用JavaScript在客户端动态建立用户界面。它一般建立各种与用户状态有关的标记,然后根据这些标记在用户界面中增加不同的元素。
如果其他功能不由Web应用程序客户端直接调用,这些功能也可以调用,并不受任何控制的保护。一般情况下,用户只需能够访问某些特定的方法,但他们却拥有范围所有的权限。
https://wahh-app.com/admin/
在这种情况下,应用程序通常仅实施如下访问控制:以管理员的身份登录的用户在他们的用户界面上看到一给该URL的链接,而其他用户无法看到这个链接。这种细微的差别是应用程序用于“防止”敏感功能被未授权使用的唯一机制。
有时候,允许用户访问强大的功能的URL可能很难猜测,相当隐蔽,这种情况下,开发者假设攻击者无法知道或发行这个URL,管理功能就会因此受到保护。
一些应用程序的敏感功能隐藏在各种不太同意猜测的URL之后,但攻击者通过仔细检查客户端代码还是可以发现这些URL。许多应用程序使用JavaScript在客户端动态建立用户界面。它一般建立各种与用户状态有关的标记,然后根据这些标记在用户界面中增加不同的元素。
如果其他功能不由Web应用程序客户端直接调用,这些功能也可以调用,并不受任何控制的保护。一般情况下,用户只需能够访问某些特定的方法,但他们却拥有范围所有的权限。
