一、横向越权
横向越权指的是攻击者尝试访问与他拥有相同权限的用户资源
如何防止横向越权:
一般在每个用户访问时生成token信息,在这个操作时token会进行传递,并且token会设置有效期。通过这样的方式绑定用户与资源并且确定权限。
二、纵向越权
纵向越权指的是一个低级别攻击者尝试访问高级别用户的资源
如何防止纵向越权:一般设置基于角色访问控制的机制防止纵向越权攻击:预先定义不同的权限角色,为每个角色分配不同的操作权限,每个用户都分配有特定的角色,拥有固定的操作权限,当用户执行某个操作或某种访问时,通过用户所在的角色判定该操作或者访问符合权限。
网友评论