asp.net core安全事项(下)
2022/2/3 14:43:15
本文主要是介绍asp.net core安全事项(下),对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
-
越权
越权是非常严重的安全漏洞,通常状态是开发人员对请求的限制逻辑不严格导致的。
如果系统中有角色的概念,越权可能出现不同角色间的越权和同角色间的越权。
相同角色:
A用户,B用户是相同的角色。
A用户和B用户都可以调用 /photo/{id}。
这个url,如果在后端不判断这个phtoto的id属于那个用户的,就很容易造成越权,这里只要A用户登录验证通过后,就可以用这个api,换id来请求到B用户的照片信息,这种情况下通常在后端要把id和用户id都当成查询条件,去库中查询,这样就能有效防止越权。
其实就是加了一层过滤,是谁的数据。如果数据归属权有层级,交叉,那将是更复杂的控制,不过这些都是业务逻辑决定的。
[HttpGet("/photo/{id}")] public IActionResult GetPohot(int id) { //数据集全 var photos = new List<dynamic> { new {ID=1, Name="第一张",User="A"}, new {ID=2, Name="第二张",User="B"}, new {ID=3, Name="第三张",User="A"}, new {ID=4, Name="第四张",User="B"} }; //越权 //return new JsonResult(photos.SingleOrDefault(s => s.ID == id)); //增加数据所属条件 return new JsonResult(photos.SingleOrDefault(s => s.ID == id && s.User == User.Identity.Name)); }
有时,我们很容易忽略一些数据所有权,比较上传的文件,图片,属于那个用户,可能在表里对文件,图片和用户作了绑定,但当前端访问或下载这个文件,图片时,并没有去对文件,图片所有权作个判断,从而造成越权风险。
不同角色:
A角色,B角色有不同的功能
很多时候,不同的角色有不同的功能,这些功能是通过菜单在UI上显示,当不同的角登录后,只能看见属于自己的功能,如果不在服务端对每个api和角色加以映射判断(api层的权限设定很重要),就很容易造成越权,虽然A角色在UI上看不到B角色的功能菜单,一但A记下B角角功能的url,也会很顺利的访问到B角色的功能。
还有一个就是权限控制模块的处理,如果多个角色都有不同的权限控制权限,一定要设置好权限的范围控制,权限低的不能添加或修改成权限高的用户,否则后果很严重,老板很生气。
想要更快更方便的了解相关知识,可以关注微信公众号
这篇关于asp.net core安全事项(下)的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2022-03-01沐雪多租宝商城源码从.NetCore3.1升级到.Net6的步骤
- 2024-12-06使用Microsoft.Extensions.AI在.NET中生成嵌入向量
- 2024-11-18微软研究:RAG系统的四个层次提升理解与回答能力
- 2024-11-15C#中怎么从PEM格式的证书中提取公钥?-icode9专业技术文章分享
- 2024-11-14云架构设计——如何用diagrams.net绘制专业的AWS架构图?
- 2024-05-08首个适配Visual Studio平台的国产智能编程助手CodeGeeX正式上线!C#程序员必备效率神器!
- 2024-03-30C#设计模式之十六迭代器模式(Iterator Pattern)【行为型】
- 2024-03-29c# datetime tryparse
- 2024-02-21list find index c#
- 2024-01-24convert toint32 c#