简述平行权限和垂直权限 | Time_泽~少的博客
  • 如果你喜欢Time_泽~少的博客,请按ctrl+D收藏吧!
  • 网络安全/信息技术博客

简述平行权限和垂直权限

简述平行权限和垂直权限

访问控制实际上是建立 用户与权限之间的对应关系,现在应用广泛的一种方法,就是“基于角色的访问控制(Role-Based Access Control)”,简称 RBAC。

用户 > 角色 > 权限

RBAC 事先会在系统中定义出不同的角色,不同的角色拥有不同的权限,一个角色实际上就是一个权限的集合。而系统的所有用户都会被分配到不同的角色中,一个用户可能拥有多个角色,角色之间有高低之分(权限高低)。在系统验证权限时,只需要验证用户所属的角色,然后就可以根据该角色所拥有的权限进行授权了。

权限管理其实是业务需求上的一个问题,需要根据业务的不同需求来实现不同的权限管理。因此很多时候,系统都需要自己定制权限管理。定制一个简单的权限管理系统,不妨选择RBAC 模型作为依据。

这种基于角色的权限管理(RBAC模型),我们可以称之为“垂直权限管理”。

不同角色的权限有高低之分。高权限角色访问低权限角色的资源往往是被允许的,而低权限角色访问高权限角色的资源往往则被禁止。如果一个本属于低权限角色的用户通过一些方法能够获得高权限角色的能力,则发生了“越权访问”。

在配置权限时,应当使用“最小管理权限原则”,并使用“默认拒绝”的策略,只对有需要的主体单独配置“允许”的策略。这在很多时候能够避免发生“越权访问”。

 

漏洞编号wooyun-2010-0129。

简述平行权限和垂直权限

id代表资源的唯一编号,因此通过篡改id,就可以改变要访问的资源。而优酷网则没有检查当前用户的权限是否能够访问这些资源。

我们可以看到,用户访问了原本不该属于他的数据。用户A和用户B可能都属于同一个角色RoleX,但是用户A与用户B都各自拥有一些私有数据,在正常情况下,应该只有用户自己才能访问自己的私有数据。

但是在RBAC 这种“基于角色的访问控制”模型下,系统只会验证用户A是否属于角色RoleX,而不会判断用户A是否能访问只属于用户B的数据DataB,因此,发生了越权访问这种问题,我们就称之为“水平权限管理问题”。

简述平行权限和垂直权限

原创文章,转载请注明: 转载自Time_泽~少的博客

本文链接地址: 简述平行权限和垂直权限

简述平行权限和垂直权限



Time_泽~少的博客, 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明简述平行权限和垂直权限
喜欢 (1)or分享 (0)
Time_泽 ~少
关于作者:
计算机专业/网络安全技术,社会工程学。
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址可不填