合肥滨湖建设指挥部网站,如何做影视网站,平台网站建设协议,做网站用什么颜色好目录 一、简介1.1 水平越权#xff08;中危#xff09;1.2 垂直越权#xff08;高危#xff09;1.3 方便记忆方法 二、修复方案2.1 水平越权修复2.2 垂直越权修复 一、简介
1.1 水平越权#xff08;中危#xff09; 漏洞危害#xff1a; 水平越权 是相同级别#xff0… 目录 一、简介1.1 水平越权中危1.2 垂直越权高危1.3 方便记忆方法 二、修复方案2.1 水平越权修复2.2 垂直越权修复 一、简介
1.1 水平越权中危 漏洞危害 水平越权 是相同级别权限的用户或者同一角色中不同的用户之间可以越权访问、修改或者删除其他用户信息的非法操作。如果出现此漏洞可能会造成大批量数据的泄露严重的甚至会造成用户信息被恶意篡改。 解决建议 完善权限验证措施自己的身份只能查看、修改、删除、添加自己的信息。 1.2 垂直越权高危 漏洞危害 垂直越权 是不同级别之间或不同角色之间的越权垂直越权还可以分为向上越权和向下越权。向上越权指的是一个低级别用户尝试访问高级别用户的资源比如说某个系统分为普通用户和管理员用户管理员有系统管理功能而普通用户没有那我们就可以理解成管理功能具备垂直权限划分如果普通用户能利用某种攻击手段访问到管理功能那我们就称之为向上越权。向下越权是一个高级别用户访问低级别用户信息读取到低级用户的个人信息。 解决建议 完善权限验证措施自己的身份只能查看、修改、删除、添加自己的信息。 1.3 方便记忆方法
针对 水平越权 和 垂直越权 问题我们日常开发中经常遇到但是经常混淆。有一个办法可以帮助大家记忆和理解。
我们可以把数据库中的数据想象成一个图书馆的书架。
图书馆的书架中每一行与行之间代表的不同的类别相当于角色每一本书可以摆放在各种类别的架子上相当于用户。这样我们就好理解水平越权和垂直越权了
水平越权 相同角色权限下可以跨用户操作。比如修改别人创建的数据。垂直越权 不同角色权限下可以跨角色操作。比如访问权限之外的页面。 二、修复方案
2.1 水平越权修复
修复水平越权漏洞需要分两步
在数据库中新增创建人标识字段要求可以唯一标识创建人。前端、后端都要在查询、操作接口根据当前用户进行校验。
2.2 垂直越权修复
修复垂直越权漏洞除了前端需要控制菜单、页面的显示之外后端接口也需要根据权限来控制访问权限可以利用 Security、Shiro 的注解来实现。
整理完毕完结撒花
