面试题:什么是横向越权和纵向越权、如何解决?
1、什么是横向越权和纵向越权:
横向越权:攻击者尝试访问与他拥有相同权限的用户的资源
纵向越权:低级别攻击者尝试访问高级别用户的资源
2、如何解决:
横向越权场景:
对于横向越权,横向越权可能出现的场景有:在用户忘记密码重置密码时,回答对了问题进入密码重置阶段时,如果知道其他用户的用户名,很容易改变此用户的密码,然后就可以进行越权访问了。
横向越权解决:
这种情况下为了防止横向越权,使用缓存来进行辅助,当问题回答正确时,在缓存中存储一对由用户名和一个唯一的数字组成的字符串。在重置密码时我们的参数不仅需要用户名和密码还需要前面生成的唯一数字符串,根据用户名在缓存中取出对应的字符串,如果取出的字符串和参数中传入的相等,则可以重置的当前用户的密码,否则不是,且不予以重置。
纵向越权解决:
通过设置用户角色,为不同的角色提供不同的权限来避免。
转载请标明出处,原文地址:https://blog.csdn.net/weixin_41835916 如果觉得本文对您有帮助,请点击顶支持一下,您的支持是我写作最大的动力,谢谢。
扫码关注公众号:
