Access Control Flaws

Access Control Flaw：访问控制缺陷 角色的访问 控制方案： 个角色代表一组访问权限和特权， 单个用户可以设置多个角色。 角色访问控制方案由：角色权限管理，角色分配 构成 目前访问控制出现问题的地方一般在：事务，资源。 事务：值操作，比如：delete，mo

Access Control Flaw：访问控制缺陷

 

角色的访问控制方案：个角色代表一组访问权限和特权，单个用户可以设置多个角色。

角色访问控制方案由：角色权限管理，角色分配 构成

 

目前访问控制出现问题的地方一般在：事务，资源。

 

事务：值操作，比如：delete，modified等

资源：好理解，就是访问的内容，有一个标志，比如：ID，Name

 

水平权限概念

 

URL中若包含用户身份标识，通过修改该标识来达到转换身份的目的

URL或请求中包含资源ID，通过修改该ID来达到跨身份的操作资源

 

垂直权限概念

 

复制其他不同角色的URL或请求，在普通用户身份时发起，检查是否越权

 

Webgoat中的内容：

1、Using an Access Control Matrix

 

找出除了admin以外，角色是[User, Manager]，可以访问Account Manager资源的用户

 

2、Bypass a Path Based Access Control Scheme

尝试访问服务器文件，比如tomcat/conf/tomcat-users.xml

 

3、LAB: Role Based Access Control

Bypass Business Layer Access Control：绕过事务层

 

Bypass Data Layer Access Control：绕过数据层

 

4、Remote Admin Access

 

直接在URL中加一个参数&admin=true, 试图使用管理员身份访问该页面