81,118
社区成员
发帖
与我相关
我的任务
分享在业务系统中通常是如果防止用户横向越权操作和纵向越权访问数据的?
如题,通常我们的查询订单详情时,都是通过订单ID去查找这个订单详情。
那么,查询的时候,你们在处理会再加上订单是否属于这个用户吗?
一旦用户穷举了这个id,不是可以查询到其他用户的订单。
为啥我接触的系统,都是直接根据id去查询??
普及一下:两种越权操作类型:横向越权操作和纵向越权操作。前者指的是攻击者尝试访问与他拥有相同权限的用户的资源;而后者指的是一个低级别攻击者尝试访问高级别用户的资源。
那么,查询的时候,你们在处理会再加上订单是否属于这个用户吗?
一旦用户穷举了这个id,不是可以查询到其他用户的订单。
为啥我接触的系统,都是直接根据id去查询??
普及一下:两种越权操作类型:横向越权操作和纵向越权操作。前者指的是攻击者尝试访问与他拥有相同权限的用户的资源;而后者指的是一个低级别攻击者尝试访问高级别用户的资源。
...全文
请发表友善的回复…
发表回复
Mr_IT小涛 2017-11-29
- 打赏
- 举报
看你做的系统属于哪一类,实话说,像企业ERP我见过的就很少有注意横向和纵向越权的问题,毕竟是企业内部用的多,安全角度考虑就不周全,但是真正的互联网产品就要注意这个问题了,用户中不缺少那种刁钻的。
coooliang 2017-09-26
- 打赏
- 举报
因为这些系统都是忽悠人的。。
yekeyishuo 2017-09-25
- 打赏
- 举报
一般来说,普通的系统都没有做水平越权判断,但是在银行等金融系统肯定要做判断
kobe8free 2017-09-07
- 打赏
- 举报
关于水平越权:一般存在的问题是 用户id这些信息从客户端获取,交易id的增删改查不校验 所属用户,这些都是些安全漏洞。
通常的解决办法是 用户信息从 服务器session中获取,交易id的增删改查校验所属用户。
纵向越权:一般发生在 权限菜单等信息控制在 客户端或者浏览器,通过模拟参数获取更大权限,
可以通过 责任链的方式 在交易请求进来时 对 所属交易权限 跟session进行对比。
