ToB企服应用市场:ToB评测及商务社交产业平台

标题: 【安全】越权 [打印本页]
作者: 飞不高    时间: 2024-9-16 22:03
标题: 【安全】越权


水平越权(Horizontal Privilege Escalation)

水平越权是指攻击者以划一或相同权限的身份,试图访问其他用户的资源或数据。
例如,通过修改 URL 参数或会话标识符来访问其他用户的订单信息。
垂直越权(Vertical Privilege Escalation)

垂直越权是指攻击者以低权限身份,试图获取高权限级别的访问权限。
示例:例如,通过利用身份验证漏洞或权限提升漏洞来获取管理员权限。


漏洞防范

防护方式: 
实施访问控制:在应用程序的层面上实施访问控制机制,包括身份验证,对用户进行恰当的身份验证和授权,仅允许其实行其所需的操纵。
最小权限原则:在分配用户权限时,接纳最小权限原则,即给予用户所需的最低权限级别,以限制潜伏的越权行为。用户只应具备完成其任务所需的最小权限。

访问控制模子


基于角色的访问控制(RBAC)



RBAC0







RBAC1




RBAC2





RBAC3



基于属性的访问控制(ABAC)



原理

ABAC 通过评估一系列预定义的策略来决定是否授予权限。这些策略是基于属性的逻辑语句,定义了访问控制的规则。当用户尝试访问资源时,ABAC 体系会查抄相关的属性和策略,如果属性满足策略条件,则授权访问。
例如一个典范的 ABAC 场景描述如下图,当 subject 必要去读取某一条记录时,我们的访问控制机制在哀求发起后遍开始运作,该机制必要盘算,来自 policy 中记录的规则,subject 的 attribute,object 的 attribute 以及 environment conditions,而最后会产生一个是否允许读取的结果



  1. 为什么ABAC没有标准建模呢?作者的经验是认为,ABAC主要是语法设计,因此会非常灵活,这种非常灵活的关系不适合用模型和模型
  2. 之间的约束关系来表示,因此目前经典的设计都是用xml或者json来表示一个policy。
  4. {
  5.     "Action":[
  6.         "EditUser",
  7.         "GetUser"
  8.     ],
  9.     "Resource":"user:1、2、3、4",
  10.     "Condition":{
  11.         "DateLessThan":{
  12.             "acs:CurrentTime":"2021-03-22T17:00:00+08:00"
  13.         }
  14.     }
  15. }
复制代码
RBAC&ABAC对比

对比
 ABAC
 RBAC
机动性
 动态授权
 静态授权
控制粒度
 可以很细
 控制粒度比力粗
复杂度
 复杂
 简单
案例

AWS IAM 的ABAC实现

来自 AWS Senior Manager :https://www.youtube.com/watch?v=Iq_hDc385t4&t=2378s
第三方权限框架

轻量级权限控制框架Shiro和企业级权限控制框架SpringSecurity都可以实现如上两种方案的权限控制。

参考文献

水平越权和垂直越权
StackOverflow 的 Q/A 帖子"基于角色访问控制"是一个很好的例子,值得一读。
阿里云的ABAC案例
History-based access control
Using RBAC Authorization
What is Azure role-based access control (Azure RBAC)?
What is Role-Based Access Control (RBAC)? A Complete Guide | Frontegg
Pattern-Oriented Software Architecture - Access control pattern
深入明确RBAC_架构_俞凡_InfoQ写作社区
https://www.cnblogs.com/cangqinglang/p/16547720.html
备注:
以上图片泉源于网络



免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4