• 尚大品牌
    • 尚大网校|在线考试|证书查询|成绩查询
    登录   |   注册
     
     
        准考证打印   论文投票   报考指南   论文辅导   软考培训   郑重申明  
    您现在的位置:  首页 > 软考学苑 > 信息安全工程师 > 信安上午综合知识 > 信安考点梳理 >> 正文
    正文
    信息安全工程师教程:Web 安全威胁防护技术-不安全的直接对象引用
    来源: 作者: 时间;2018-02-01 16:54:03 点击数: 尚大软考交流群:376154208
    不安全的直接对象引用
    ·用户或者会话的间接对象引用。这样能防止攻击者直接攻击未授权资源。例如,一个下拉列表包含6 个授权给当前用户的资源,它可以使用数字1~6 来指示哪个
    <尚大教育,教育至上,人才为大:sdedu.cc>
    不安全的直接对象引用
        ·用户或者会话的间接对象引用。这样能防止攻击者直接攻击未授权资源。例如,一个下拉列表包含6 个授权给当前用户的资源,它可以使用数字1~6 来指示哪个是用户选择的值,而不是使用资源的数据库关键字来表示。在服务器端,应用程序需要将每个用户的间接引用映射到实际的数据库关键字。OWASP 的ESAPI 包含了两种序列和随机访问引用映射,开发人员可以用来消除直接对象引用。
        ·检查访问。任何来自不可信源的直接对象引用都必须通过访问控制检测,确保该用户对请求的对象有访问权限。
        ·避免在URL 或页面中直接引用内部数据库关键字或者是文件名。
        ·锁定网站服务器上的所有目录和文件夹,设置访问权限。
    <尚大教育,教育至上,人才为大:sdedu.cc>
     
       各省软考办 
     
    来顶一下
    返回首页
    返回首页
    上一篇:信息安全技术知识:入侵检测概述
    下一篇:信息安全技术知识:防火墙的体系结构
     相关文章
     
     
    跟贴共
    查看完整评论
    笔 名 :   验证码:
    网友评论仅供其表达个人看法,并不表明尚大教育同意其观点或证实其描述
    距离2023年05月27-28日软考考试还有
    尚大软考交流群:376154208
    软考各地考务机构
    更多>>
    全国 北京 天津 河北 山西
    内蒙古 辽宁 吉林 黑龙江 上海
    江苏 浙江 安徽 福建 江西
    山东 河南 湖北 湖南 广东
    广西 海南 重庆 四川 贵州
    云南 西藏 陕西 甘肃 青海
    宁夏 新疆 香港 澳门 宁波
    大连 兵团 报名入口 联系方式
    历年真题汇总
    更多>>




    各省市软考报名简章
    软考动态
    更多>>
    PMI, PMP, Project Management Professional, PgMP, PfMP, PMI-ACP, PMI-PBA, PMBOK and the PMI Registered Education Provider logo are registered marks of the Project Management Institute, Inc.   京ICP备12019404号  Copyright© 2008-2021 北京翰林尚大教育科技有限公司