一、介绍 业务没有按正常逻辑而出现的漏洞 核心:绕过真实用户身份或正常业务流程达到预期的目的 二、思维导图 三、越权修复防御 1、前后端同时对用户输入信息进行校验,双重验证机制 2、调用功能前验证用户是否有权限调用相关功能 3、执行关键操作前必须验证用户身份,验证用户是否具备操作数据的权限 4、直接对象引用的加密资源ID,防止攻击者枚举ID,敏感数据特殊化处理 5、永远不要相信来自用户的输入,对于可控参数进行严格的检查与过滤
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
