IDOR-不安全的直接对象引用(大类)

1、含义:指一个已经授权的用户,通过更改访问时的一个参数,从而访问到了原本其并没有得到授权的对象。

2、防御:

(1)避免在URL或网页中直接引用内部文件名或数据库关键字。

(2)可使用自定义的映射名称来取代直接对象名,例如, http://example.test/online/news.asp?item=0245等

(3)锁定网站服务器上的所有目录和文件夹,设置访问权限。

(4)验证用户输入和URL请求,拒绝包含./或../的请求

3、参考:https://www.freebuf.com/news/139375.html

©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • oracle错误集合
    ORA-00001: 违反唯一约束条件 (.) 错误说明:当在唯一索引所对应的列上键入重复值时,会触发此异常。 O...
    我想起个好名字阅读 10,794评论 0 9
  • 面向对象的用电信息数据交换协议
    国家电网公司企业标准(Q/GDW)- 面向对象的用电信息数据交换协议 - 报批稿:20170802 前言: 排版 ...
    庭说阅读 13,871评论 6 13
  • HTTP简介
    HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写,是用于从万维网(W...
    空口言_1d2e阅读 2,976评论 0 0
  • 2018-02-28 HTTP请求错误码大全
    2系列200 OK请求已成功,请求所希望的响应头或数据体将随此响应返回。201 Created请求已经被实现,而且...
    Y像梦一样自由阅读 8,962评论 1 5
  • From:黑白之道
    一套实用的渗透测试岗位面试题,你会吗? 1.拿到一个待检测的站,你觉得应该先做什么? 收集信息 whois、网站源...
    g0阅读 10,382评论 0 9