iT邦幫忙

2024 iThome 鐵人賽

DAY 12
0
Security

WEB仔也要懂資安嗎系列 第 12

12/Broken Access Control

  • 分享至 

  • xImage
  •  

Broken Access Control,OWASP Top 10 2021的榜首,
指的是Server端對資料權限的控管失當,導致用戶可以執行其權限理應不可進行的操作。
而其中又可分為
垂直提權(Vertical Privilege Escalation):獲得比使用者更高層級的權限
水平提權(Horizontal Privilege Escalation):獲得其他使用者的權限

避免的方式是做好權限控管,若因業務需要開放權限,則要避免使用可預測的數值或字串作為參數

一樣拿hitcon的例子
https://zeroday.hitcon.org/vulnerability/ZD-2024-00598
該案例是透過修改url的方式可以存取非本人的資料,就是使用參數的規則容易被破解,容易被有心人士利用


上一篇
11/Server-side Request Forgery(SSRF)
下一篇
13/Cryptographic Failures
系列文
WEB仔也要懂資安嗎30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言