Mitigazione dell'escalation dei privilegi [chiuso]

Naviga le tue risposte
0

Qual è la migliore protezione contro la vulnerabilità di Privilege Escalation nell'applicazione web. Fondamentalmente sono in grado di modificare la risposta HTTP in formato JSON dall'ID UTENTE all'ID ADMIN per accedere al sistema di account dell'amministratore.

    
posta Michal Koczwara 19.01.2016 - 13:43
fonte

1 risposta

2

In genere di sicurezza parli generalmente di 3 punti:

  1. identificazione
  2. autentificazione
  3. autorizzazione

Ti manca il punto 2 / "non fidarti mai del cliente": identifichi il cliente tramite l'ID e gli dai i diritti in base all'ID inviato dal cliente. Come hai visto, fallisce perché il cliente può mentire. Le soluzioni più comuni per l'autenticazione sui siti Web sono:

  • Invio di un token di autenticazione come una password con la richiesta E CONTROLLO DEL SERVER
  • Uso delle sessioni (come i cookie) E CONTROLLO DEL SERVERSORE
risposta data 19.01.2016 - 14:04
fonte

Leggi altre domande sui tag

Conformità PCI-DSS in ambito se parte del numero di carta e scadenza sono memorizzati solo? [duplicare] La chiave pubblica git protetta da password git protegge il mio repository?