一、访问控制概述
1、访问控制
简单来说,就是通过一些策略来控制用户的权限
2、访问控制三要素
注:主体不一定是用户,也可以是程序
主体访问客体的步骤
3、访问控制模型
(1)、自主访问控制
(2)、强制访问控制
(3)、角色型访问控制
二、逻辑漏洞
1、逻辑漏洞:指攻击者利用业务的设计缺陷,获取敏感信息或者破坏业务的完整性。一般出现在密码修改(没有旧密码验证)、越权访问、密码找回、交易支付等功能处。
逻辑漏洞产生的流量多数为合法流量,这也导致传统的安全防御设备和措施起不到什么作用,这类漏洞在将来可能会成为主流。
2、逻辑漏洞的分类
(1)、验证机制缺陷
(2)、会话管理缺陷
可以利用抓包软件获取cookie,或者假装服务器,向客户端发送cookie
(3)、权限管理缺陷
(4)、业务逻辑缺陷
