访问控制和权限提升漏洞-概念梳理

admin 2022年7月20日22:59:43安全百科评论5 views1726字阅读5分45秒阅读模式


在本节中,将讨论什么是访问控制安全,描述权限提升和访问控制可能出现的漏洞类型,并总结如何防止这些漏洞。

 


什么是访问控制?

访问控制(或授权)是对谁(或什么)可以执行尝试的操作或访问他们请求的资源进行限制。

Web应用程序的过程中,访问控制依赖于身份验证和会话管理:

●身份验证识别用户并确认他们就是他们所说的人。

●会话管理识别同一用户正在发出哪些后续请求。

●访问控制确定是否允许用户执行他们尝试执行的操作。

损坏的访问控制是一种常见且严重的安全漏洞。访问控制的设计和管理是一个复杂且动态的问题,它将业务、组织和法律约束应用于技术实施。访问控制设计决策必须由人而不是技术做出,因此出错的可能性很高。

访问控制和权限提升漏洞-概念梳理

从用户角度来看,访问控制可以分为以下几类:

●垂直访问控制

●水平访问控制

●过程相关的访问控制

 

◆垂直访问控制

垂直访问控制是限制对其他类型用户对敏感功能禁用的访问控制机制。

通过垂直访问控制,不同类型的用户可以访问不同的应用程序功能。

访问控制和权限提升漏洞-概念梳理

例如,管理员可能能够修改或删除任何用户的账户,而普通用户无权访问这些操作。

垂直访问控制可以实施更细粒度的安全模型,旨在强制执行业务策略,例如职责分离和最小权限。

 

◆水平访问控制

水平访问控制是一种将资源的访问权限限制在特定用户允许访问的机制。

通过横向访问控制,不同的用户可以访问同一类型的资源子集。

访问控制和权限提升漏洞-概念梳理

例如,银行应用程序将允许用户查看交易并从他们自己的账户进行支付,但不允许操作任何其他用户账户。

 

◆过程相关的访问控制

过程相关的访问控制根据应用程序的状态或用户与应用程序的交互来限制对功能和资源的访问。

过程相关的访问控制可以防止用户以错误的顺序执行操作。

例如,零售网站可能会阻止用户在付款后修改其购物车的内容。

 


什么是访问控制安全模型

访问控制安全模型是一组独立于技术或平台的访问控制规则的定义,访问控制安全模型在操作系统、网络、数据库系统以及后台、应用程序和Web服务器软件中实施。多年来,人们设计了各种访问控制安全模型,以将访问控制策略与业务或组织规则在技术上进行匹配。

 

◆程序化访问控制

使用程序化访问控制,用户权限矩阵存储在数据库或类似的数据库中,并且访问控制参考该矩阵以程序化方式进行应用。这种访问控制方法可以包括角色或组或个人用户、流程的集合或工作流,并且可以是高精细度的。

 

◆自主访问控制(DAC)

通过自主访问控制,对资源或功能的访问受到用户或用户组的限制。资源或功能的所有者能够向用户分配访问权限。该模型也具有高精细度的访问权限,可以为单个资源或功能对用户定义访问权限,因此模型的设计和管理会变得非常复杂。

访问控制和权限提升漏洞-概念梳理

 

◆强制访问控制(MAC)

强制访问控制是一种集中控制的访问控制系统,其中主体对某些对象(文件或其他资源)的访问受到限制。值得注意的是,与DAC不同,资源的用户和所有者没有能力委派或修改其资源的访问权限。该模型通常与基于军事许可的系统相关联。

 

◆基于角色访问控制(RBAC)

使用基于角色的访问控制,可以定义角色名字,并为其分配访问权限。然后将用户分配给单个或多个角色。

RBAC提供了对其他访问控制模型的增强管理,如果设计得当,可以提供足够的粒度以在复杂的应用程序中提供可管理的访问控制。

访问控制和权限提升漏洞-概念梳理

例如,采购员可能被定义为对采购分类和资源具有反问权限的角色,随着员工离开或加入阻止,访问控制管理被简化为授权或撤销采购员角色的成员资格。

当有足够多的角色可以正确调用访问控制但又不足以使模型过于复杂和难以管理时,RBAC是最有效的。

 

如何防止访问控制漏洞?

访问控制漏洞通常可以采取深度防御的方法,并应用以下原则来预防:

●永远不要仅仅依靠混淆来进行访问控制。

●除非资源旨在公开访问,否则默认拒绝访问。

●尽可能使用单一的应用程序范围机制来实施访问控制。

●在代码级别,强制开发人员声明每个资源允许的访问权限,并默认拒绝访问。

●彻底审核和测试访问控制,以确保他们按设计工作。


访问控制和权限提升漏洞-概念梳理


信息泄露漏洞-概念梳理

业务逻辑漏洞-概念梳理

命令注入攻击(上)
目录遍历攻击(上)

份验证漏洞-概念梳理

SQL注入攻击-检索隐藏的数据
HTTP高级请求走私-响应队列中毒
HTTP Host头漏洞攻击-概念梳理


原文始发于微信公众号(H君网安白话):访问控制和权限提升漏洞-概念梳理

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月20日22:59:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  访问控制和权限提升漏洞-概念梳理 http://cn-sec.com/archives/1189911.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: