精华内容
下载资源
问答
  • web访问控制处理流程
    千次阅读
    2021-10-18 16:41:44

    复习

    ​ Session攻击,攻击者可以让session不失效,可以窃取用户会话,进行攻击。

    ​ 单点登录,实现机制就是我在一个子系统登录后,可以只登录一次,去访问其他子系统的webapp。流程是SSO系统(专门用于登录的系统),比如不是登录态,用户登录页面会跳转到SSO系统的页面,登录成功后生成一个凭证,当用户访问其他子系统是,用凭证就无需登录了,但是子系统要重新验证凭证。防止篡改。

    一、访问控制

    ​ 授权和认证中,用户可以访问哪些页面是授权的问题,普通用户可以访问admin的页面就是出现越权问题。

    ​ 访问控制,限制主体对客体的访问。主体可以是浏览器的客户端。客体可以是一个主页和主页下的资源。读取和修改是操作。对一个服务器来说,服务器的端口(http,https,mysql)电脑访问服务器的服务。发起请求的电脑是主体。可以通过防火墙来控制恶意请求。会有一个访问控制列表,规定哪些ip可以访问和不可以访问。

    ​ linux中有些文件时只读的,或者可写的,针对某个用户组,设置可读可写的权限。

    1.三个要素

    ​ 主体(动作发起者) 客体(被访问的资源的实体) 控制策略(主体对客体访问的规则集合)

    ​ 对于web应用也有访问控制,

    1.基于角色的访问控制(用的比较多RBAC)

    ​ 不同角色有不同的权限,控制可以访问的资源。在系统中设置权限(比如创建,修改,删除,查看)超级管理员有所有权限的集合。一个用户可以有多个角色。系统知道角色,就赋予对应的权限。

    ​ 如何实现呢?基于 URL的访问控制来确定不同的角色,将系统操作的每个url配置在权限表中,系统通过过滤器决定谁可以访问。

    ​ 可以称之为垂直权限管理。如何避免越权呢?使用最小权限原则,并使用默认拒绝策略,只对有需要的主体单独配置权限。这种可能出现水平权限管理问题。

    2.和基于数据的访问控制

    ​ 水平权限管理,数据级权限管理并没有很通用的解决方案。这种是和业务有关系的,所以需要具体问题具体分析。可以用用户组的概念,还可以实现一个规则引擎。

    2. OAuth 2.0

    ​ 它是应用之间彼此访问数据的开源授权协议,用来授权第三方应用,获取用户数据。

    ​ OAuth引入了一个授权环节来解决上述问题。第三方应用请求访问受保护资源时,资源服务器在获准资源用户授权后,会向第三方发送一个访问令牌。该访问令牌包含资源用户的授权访问范围、授权有效期等关键属性。第三方应用在后续资源访问过程中需要一直持有该令牌,直到用户主动结束该次授权或令牌自动过期。

    ​ 它为用户和应用定义了如下角色:资源拥有者,资源服务器,客户端应用,授权服务器。

    ​ OAuth的核心就是颁发令牌。之前第三方应用先到资源服务器来注册,颁发第三方应用标识和密钥。访问授权服务器需要应用标识和密钥来验证自己。

    2.1授权码(前后端分离)

    ​ 授权码和令牌不是相同的。授权码是在前端进行传送的,令牌是储存在后端的,而且所有与资源服务器的通信在后台进行。前后端分离更安全。A网站提供一个链接,用户点击后跳转到B网站,申请B网站用户数据给A网站使用。用户同意,B网站带授权码到A网站。(code 参数是授权码)

    ​ A网站拿到授权码后就可以在后端向B网站请求令牌。B收到请求,颁发令牌。refresh_token: 可以跟新令牌,expries_in是有效期。

    2.2 隐藏式(前端,无后端)

    ​ A网站提供一个链接,用户点击后跳转到B网站,申请B网站用户数据给A网站使用。response_token直接在前端颁发。

    ​ 令牌的位置是URL锚点,不会向服务器发送数据,在前端发送,减少风险。这种安全级别不高。

    2.3密码式

    ​ A网站直接用用户名和密码申请令牌,这种需要用户高度信任A应用。这种风险很大,只能是其他方式无法使用的情况才使用。

    2.4凭证式(没有前端的)

    ​ A向B发请求,B直接返回令牌,这是针对第三方应用,不针对用户(可能好几个用户共享同一个令牌)

    3.更新令牌

    ​ 颁发令牌时会颁发两个令牌(一个是真正令牌,另外一个是更新令牌),refresh_token这个字段是更新令牌用的。用它去发更新请求。

    二、互联网业务安全

    1.产品需要什么样的安全

    ​ 当一个产品各方面都做的很好的时候,安全有可能成为产品的一种核心竞争力。

    ​ 业务逻辑安全:修改密码后,多个业务之间是否同步。对抗暴力破解密码时,使用锁定账户的策略,审核信息流程不规范,密码取回流程。

    2.账户是如何被盗的

    ​ 账户是如何被盗的:网站登录中无HTTPS,密码在网络中被嗅探。用户电脑中了木马,密码被键盘记录软件所获取。用户被钓鱼网站所迷惑,密码被钓鱼网站所骗取。网站某登录入口可以被暴力破解。

    ​ 分析账户被盗原因的途径:客服是重要和直接的渠道,从日志中寻找证据,打入敌人内部,探听最新动态。

    3. 互联网垃圾

    ​ 垃圾信息,就是无用的,有害的信息。危害:破坏网络信息生态,威胁人类安全。加剧信任危机,导致决策失误。信息爆炸导致信息匮乏,信息利用成本增加。信息污染使网络的教育负功能凸显,网络不良信息颠覆了主流的道德的观念。

    垃圾处理:识别和拦截,拦截方法根据业务而定,可以冻结或删除账户,也可以只针对垃圾信息做屏蔽。识别垃圾信息,建立“规则”和“模型”

    4. 网络钓鱼

    ​ 利用欺骗性电子邮件或者伪造站点来引诱他人给出敏感信息。防控:浏览器拦截,给用户提示。直接打击钓鱼网站。用户教育。自动化识别钓鱼网站。

    5.用户隐私保护

    ​ 首先用户应该拥有知情权和选择权,其次网站应该妥善保管收集到的用户数据,不得将数据用于任何指定范围外的用途。

    。直接打击钓鱼网站。用户教育。自动化识别钓鱼网站。

    5.用户隐私保护

    ​ 首先用户应该拥有知情权和选择权,其次网站应该妥善保管收集到的用户数据,不得将数据用于任何指定范围外的用途。

    更多相关内容
  • 写在前面 ...如果攻击者以管理用户为目标并破坏了他们的帐户,那么他们可以获得管理访问权限,从而执行垂直权限升级。 User ID controlled by request parameter with password disclosure ...

    写在前面

    现在是综合应用,来看看横向到纵向的权限提升。

    通常情况下,横向权限提升攻击可以变成纵向权限提升,通过危害更高权限的用户。例如,水平升级可能允许攻击者重置或捕获属于另一个用户的密码。如果攻击者以管理用户为目标并破坏了他们的帐户,那么他们可以获得管理访问权限,从而执行垂直权限升级。

    在这里补充一下IDOR的概念
    不安全的直接对象引用 (IDOR) 是一种访问控制漏洞,当应用程序使用用户提供的输入直接访问对象时会出现这种漏洞。

    具体来说,有以下几个场景
    1.引用数据库参数进行索引。例如,https://insecure-website.com/customer_account?customer_number=132355,这样的一个链接,可以通过参数的修改进行水平越权,但是一旦在水平越权的过程中,获取到具有权限的用户,或者敏感信息泄露,就可能造成更加严重的垂直越权。在这里基于参数的引用就是不安全的。

    2.直接引用静态文件的 IDOR 漏洞

    User ID controlled by request parameter with password disclosure

    常规登录后捕获到请求个人界面时,是通过参数进行索引。
    在这里插入图片描述
    更换参数进行验证,可以看出是水平越权。

    水平越权的同时,发现具有修改密码的功能,在修改之前,就会泄露以前的密码。
    (这里就是在Update password 那个input框里,查看源码就可以看到是 gwfroce…)
    在这里插入图片描述
    在这里插入图片描述
    使用获取到的密码登录管理员账户。(cookie就变了)
    在这里插入图片描述
    在这里插入图片描述
    此时,就从水平越权更进一步完成了垂直越权,可以使用管理员功能了。
    在这里插入图片描述

    Insecure direct object references

    这里是由于不安全的静态文件放置造成的,首先使用普通用户登录。
    在这里插入图片描述
    登录后有一个类似聊天的功能,下面两个按钮分别可以进行发送操作和下载聊天历史的操作。
    在这里插入图片描述
    捕获"view transcript"传出的数据包
    在这里插入图片描述
    可以看到链接上明显有一个2.txt 同时在浏览器上下载了聊天历史。
    在这里插入图片描述
    这里有明显的数字特征,可以进行fuzz,不过在这里很容易猜,2.txt是我们自己的,1.txt或者3.txt就很有可能有东西。
    下面查看1.txt
    在这里插入图片描述
    敏感信息泄露

    You: Ok so my password is q3w895g2ztg269i52574. Is that right?
    

    实验室条件告诉了我们用户,登录上去。
    又从水平越权转变到了垂直越权。
    在这里插入图片描述

    Access control vulnerabilities in multi-step processes

    这个是多步骤流程中的访问控制漏洞

    例如,更新用户详细信息的管理功能可能涉及以下步骤:

    1.加载包含特定用户详细信息的表单。
    2.提交更改。
    3.查看更改并确认。

    有时,网站会对其中一些步骤实施严格的访问控制,而忽略其他步骤。例如,假设访问控制正确应用于第一步和第二步,但没有应用于第三步。实际上,网站假设用户只有在已经完成了正确控制的第一步后才能到达第 3 步。在这里,攻击者可以通过跳过前两个步骤并直接提交带有所需参数的第三步请求来获得对该功能的未经授权的访问。

    在这个场景下就是,管理员在修改普通用户权限时,会发出表单和确认的包,但是在验证后,就默认安全了,最后完成提交时就产生了漏洞。

    这里捕获最后一个包:
    在这里插入图片描述
    接下来使用无痕模式,使用普通用户登录。取出普通用户的cookie
    在这里插入图片描述
    再次发出这个敏感请求,修改cookie和权限升级对象。可以看到,仍然完成了这个post请求。
    在这个场景下,就出现了特殊的垂直越权,可以使用部分管理员的功能。
    但是适用条件也比较苛刻。
    在这里插入图片描述

    Referer-based access control

    这里题目提示的非常明显了,是通过refer来进行权限控制的。
    使用管理员权限,能够正常发出请求。
    在这里插入图片描述
    修改refer发现不能再重放了,可以看到是通过refer来进行权限控制的。
    在这里插入图片描述
    使用普通用户来做这个敏感操作,取出他的cookie
    在这里插入图片描述
    同样可以发出这个请求,换好refer,就可以实现越权了。
    在这里插入图片描述
    在这里插入图片描述

    Location-based access control

    一些网站根据用户的地理位置对资源实施访问控制。例如,这可以适用于适用州立法或业务限制的银行应用程序或媒体服务。这些访问控制通常可以通过使用网络代理、VPN 或操纵客户端地理定位机制来规避。

    如何防止访问控制漏洞

    访问控制漏洞通常可以通过采取深度防御方法并应用以下原则来预防:

    1.永远不要仅仅依靠混淆来进行访问控制。
    2.除非资源旨在公开访问,否则默认拒绝访问。
    3.尽可能使用单一的应用程序范围的机制来实施访问控制。
    4.在代码级别,强制开发人员声明每个资源允许的访问权限,并默认拒绝访问。
    5.彻底审核和测试访问控制,以确保它们按设计工作。

    补充:访问控制安全模型

    访问控制安全模型是一组独立于技术或实现平台的访问控制规则的正式定义的定义。访问控制安全模型在操作系统、网络、数据库管理系统和后台、应用程序和 Web 服务器软件中实施。多年来,人们设计了各种访问控制安全模型,以将访问控制策略与业务或组织规则以及技术变化相匹配。

    1.程序访问控制
    使用编程访问控制,用户权限矩阵存储在数据库或类似的数据库中,并且访问控制参考该矩阵以编程方式应用。这种访问控制方法可以包括角色或组或个人用户、流程的集合或工作流,并且可以是高度精细的。

    2.自主访问控制 (DAC)
    通过自主访问控制,对资源或功能的访问受到用户或指定用户组的限制。资源或功能的所有者能够向用户分配或委派访问权限。该模型具有高度精细的访问权限,为单个资源或功能和用户定义了访问权限。因此,模型的设计和管理会变得非常复杂。

    3.强制访问控制 (MAC)
    强制访问控制是一种集中控制的访问控制系统,其中主体对某些对象(文件或其他资源)的访问受到限制。值得注意的是,与 DAC 不同,资源的用户和所有者没有能力委派或修改其资源的访问权限。该模型通常与基于军事许可的系统相关联。

    4.基于角色的访问控制 (RBAC)
    使用基于角色的访问控制,可以定义命名角色,并为其分配访问权限。然后将用户分配给单个或多个角色。RBAC 提供了对其他访问控制模型的增强管理,如果设计得当,则可以提供足够的粒度以在复杂的应用程序中提供可管理的访问控制。例如,采购员可能被定义为对采购分类帐功能和资源的子集具有访问权限的角色。随着员工离开或加入组织,访问控制管理被简化为定义或撤销采购员角色的成员资格。

    当有足够多的角色可以正确调用访问控制但又不足以使模型过于复杂和难以管理时,RBAC 是最有效的。

    写在最后

    访问控制,除了普通的水平越权,垂直越权之外,还有综合起来造成更大的漏洞危害。从水平越权,信息泄露最后到垂直越权,涉及范围和影响范围都比较大。

    上述的解决方案大多还是手动测试,而在bp上也有很多自动化检测越权漏洞的插件(比如Authz等等),算是之后深入学习越权漏洞的一个方向,可以参考参考。

    展开全文
  • 失效的访问控制

    千次阅读 2018-08-16 11:25:05
    失效的访问控制 出现的问题 文件包含/目录遍历 权限绕过(越权) 权限提升(提权) 不安全直接对象的引用 访问控制的(防御)思路 基于角色的访问控制(RBAC) 自由访问控制(DAC) 强访问控制(MAC) 基于权限的...

    失效的访问控制

    这是我在OWASP上几篇文章翻译整理加删减总结出的一个关于失效的访问控制的检查可解决的文章。勉强算个原创吧。

    由于缺乏自动化的检测和应用程序开发人员缺乏有效 的功能测试,因而访问控制缺陷很常见。导致攻击者可以冒充用户、管理员或拥有特权的用户,或者创建、访问、更新或删除任何记录。

    出现的问题

    文件包含/目录遍历

    许多web应用使用文件管理作为它们日常操作的一部分。但他们使用没有被好好设计的输入验证方法,攻击者可以利用(这个漏洞)来修改或写入文件,甚至执行任意代码。

    传统的web服务器和web应用程序用身份验证来控制文件资源访问。web服务器尝试将用户的文件限制在“根目录”或“web文档根”中,后者标识文件系统层面的物理目录。用户必须将此目录十位web应用程序层次结构的基本目录。

    许多web应用程序使用服务器端脚本来包含不同类型的文件。如管理图像,模板,加载静态文本等,但如果未正确验证输入参数(如表单,cookie)这些程序会暴露安全漏洞。这种问题出现在路径遍历/文件包含攻击中。通过利用此类漏洞,攻击者能读取它们通常无法读取的目录或文件,访问web文档根目录之外的数据,或包含来自外部网络的脚本或其他类型文件。

    如臭名昭著的%5c 暴库或dot-dot-slash (../)目录遍历,目录爬升或回溯。

    例子

    http://example.com/getUserProfile.jsp?item=ikki.html 
    http://example.com/getUserProfile.jsp?item=../../../../etc/passwd

    若getUserProfile.jsp是从文件加载静态信息并向用户显示,如果在访问控制不理想的情况下,攻击者可以构造相对路径,读取etc/passwd的文件内容。

    其他地方也可能有类似漏洞如cookie:

    Cookie:USER = 1826cc8f:PSTYLE = GreenDotRed
    Cookie:USER = 1826cc8f:PSTYLE = .. / .. / .. / .. / etc / passwd

    也可能包含外部网站的文件:

    http://example.com/index.php?file=http://www.owasp.org/malicioustxt

    如果可接受协议类参数,也可以构造如下攻击:

    http://example.com/index.php?file=file:///etc/passwd

    或探测本地服务:

    http://example.com/index.php?file=http://localhost:8080http://example.com/index.php?file=http://192.168.0.2:9080

    甚至可以不使用任何目录遍历字符开显示CGI组件源代码:

    http://example.com/main.cgi?home=main.cgi

    main.cgi的组件和普通html静态文件在同一个目录中,在某些情况下,攻击者使用. %00 null等的编码可以绕过扩展名校验。

    关于不同操作系统的路径分隔符

    Linux
    根目录:“/” 
    目录分隔符:“/”
    Windows
    根目录:“<驱动器号>:\”   
    目录分隔符:“\”或“/”
    Mac OS
    根目录:“<驱动器号>:” 
    目录分隔符:“:”

    url编码与双url编码绕过:

    %2e%2e%2f 表示 ../
    %2e%2e / 表示 ../ 
    ..%2f 表示 ../
    %2e%2e%5c 表示 .. \ 
    %2e%2e \ 表示 .. \ 
    ..%5c 代表 .. \ 
    %252e%252e%255c 代表 .. \ 
    ..%255c 代表 .. \等等。

    Unicode/UTF-8编码绕过

    ..%c0%af 表示 ../ 
    ..%c1%9c 代表 .. \

    Windows shell中,解析文件非常灵活,如以下任何内容附加到shell命令中使用的路径会导致函数没有区别:

    • 路径末端的尖括号“>”和“<”
    • 在路径末尾双引号(正确关闭)
    • 无关的当前目录标记,例如“./”或“。\”
    • 具有可能存在或可能不存在的任意项的无关父目录标记
    -  file.txt 
    -  file.txt ... 
    -  file.txt <spaces> 
    -  file.txt“”“” 
    -  file.txt <<< >>> < 
    -  ./././file.txt 
    - nonexistant / ../file.txt

    在任何shell命令或API调用中使用时,下面的符号会被丢弃,其中字符串被视为文件名:

    句号
    空格

    Windows UNC文件路径:用于引用SMB共享上的文件。有时,可以使应用程序引用远程UNC文件路径上的文件。如果是这样,Windows SMB服务器可能会将存储的凭据发送给攻击者,攻击者可以捕获并破解。这些也可以与自引用IP地址或域名一起使用来逃避过滤器,或者用于访问攻击者无法访问的SMB共享上的文件,但可以从Web服务器访问。

    \\ server_or_ip \ path \ to \ file.abc 
    \\\ server_or_ip \ path \ to \ file.abc

    Windows NT设备命名空间:用于指代Windows设备命名空间。某些引用将允许使用不同的路径访问文件系统。

    • 可能相当于驱动器号,例如c:\,甚至是没有指定字母的驱动器卷。

      \\.\GLOBALROOT\Device\HarddiskVolume1\
    • 指机器上的第一个光盘驱动器。

      \\.\CdRom0\

    权限绕过(水平越权)

    用户未经过身份验证访问资源,或注销后仍可访问资源,对不同用户访问的资源没有做很好的校验,如标准用户可访问管理员资源,或访问其他用户私有资源等。

    例子

    下面例子的url是管理员彩蛋的一部分:

     https://www.example.com/admin/addUser.jsp 

    访问这个页面你的HTTP请求如下:

    POST /admin/addUser.jsp HTTP/1.1
    Host: www.example.com
    [other HTTP headers]
    
    userID=fakeuser&role=3&group=grp001

    如果一个非管理员用户发送这个请求到服务器,会执行什么操作,在权限验证和访问控制不理想的情况下,非管理员用户通过构造管理员相应操作的数据包,也能达到管理员的权限。如增加/删除用户等。

    权限提升(垂直越权)

    权限提升是指用户权限从一个阶段提升到另一个阶段的问题,当用户访问的资源比通常情况下访问到的资源更多时,就发生了权限提示漏洞,应用程序应该阻止该权限提升或更改。权限提升一般是由于应用程序自身的缺陷引起的,最后导致程序执行的操作拥有比开发人员或系统管理员预期更多的权限。

    例子

    下面的HTTP POST请求允许属于grp001的用户访问#0001订单:

     POST /user/viewOrder.jsp HTTP/1.1
     Host: www.example.com
     ...
    
     groupID=grp001&orderID=0001

    如果对权限的校验不正常的情况,一个不属于grp001的用户修改groupID参数也可获得查看#0001的权限。

    操纵用户配置权限:下面服务器的响应显示校验成功后返回给用户的HTML中的隐藏字段。

    HTTP/1.1 200 OK
    Server: Netscape-Enterprise/6.0
    Date: Wed, 1 Apr 2006 13:51:20 GMT
    Set-Cookie: USER=aW78ryrGrTWs4MnOd32Fs51yDqp; path=/; domain=www.example.com 
    Set-Cookie: SESSION=k+KmKeHXTgDi1J5fT7Zz; path=/; domain= www.example.com
    Cache-Control: no-cache
    Pragma: No-cache 
    Content-length: 247
    Content-Type: text/html
    Expires: Thu, 01 Jan 1970 00:00:00 GMT
    Connection: close
    
    <form  name="autoriz" method="POST" action = "visual.jsp"> 
    <input type="hidden" name="profile" value="SysAdmin">
    <body onload="document.forms.autoriz.submit()">
    </td>
    </tr>

    如果我们将profile改为”SysAdmin”,可能会变成管理员。

    操纵条件值:在服务器发送错误消息时,该消息包含在一组相应代码中的特定参数中,如:

    @0`1`3`3``0`UC`1`Status`OK`SEC`5`1`0`ResultSet`0`PVValid`-1`0`0` Notifications`0`0`3`Command  Manager`0`0`0` StateToolsBar`0`0`0`    
    StateExecToolBar`0`0`0`FlagsToolBar`0

    如果我们将“PVValid”从-1改为0,那可能代表没有错误,从而通过管理员身份验证

    操纵IP地址:某些网站使用IP地址来限制访问或根据IP地址计算错误登录次数,如:

    X-Forwarded-For: 8.1.1.1

    如果可以修改X-Forwarded-For就可以绕过这种检验

    URL遍历:尝试遍历网站查看是否有页面漏掉权限检验

    /../.././userInfo.html

    弱SessionID:

    若SessionID加密算法很弱,或使用有规律的算法,可能会被攻击者猜到或解密,造成越权。

    不安全直接对象的引用

    当应用程序根据用户提供的输入提供对对象的直接访问时,会发生不安全的直接对象引用。 攻击者可以直接绕过授权并访问系统中的资源,例如数据库记录或文件。

    由于应用程序获取用户提供的输入并使用它来检索对象而不执行足够的授权检查。不安全的直接对象引用允许攻击者通过修改用于直接指向对象的参数值来直接绕过授权和访问资源。这些资源可以是属于其他用户的数据库条目,系统中的文件等。

    例子

    参数值直接用于数据库检索:

    http://foo.bar/somepage?invoice=12345

    参数invoice的值直接进入发票数据库检索,并将结果显示,如不对检索对象进行校验,那么攻击者可以遍历发票编号造成信息泄露。

    参数值直接在系统中操作:

    http://foo.bar/changepassword?user=someuser

    user参数值用于告诉应用程序用户访问哪个功能,若没有对用户本身作出限制,那么用户修改user参数,可能造成越权访问功能。

    访问控制的(防御)思路

    授权是应该授予或拒绝访问特定资源的请求的过程。Web应用程序需要访问控制以允许用户(具有不同的权限)使用该应用程序。他们还需要管理员来管理应用程序访问控制规则以及向用户和其他实体授予权限或权利。提供各种访问控制设计方法。要选择最合适的风险评估,需要执行风险评估以识别特定于您的应用程序的威胁和漏洞,以便适当的访问控制方法适合您的应用程序。

    基于角色的访问控制(RBAC)

    在基于角色的访问控制(RBAC)中,访问决策基于个人在组织或用户群中的角色和职责。

    定义角色的过程通常基于分析组织的基本目标和结构,并且通常与安全策略相关联。例如,在医疗机构中,用户的不同角色可能包括医生,护士,服务员,护士,患者等等。显然,这些成员需要不同级别的访问才能执行其功能,但也需要根据安全政策和任何相关法规(HIPAA,Gramm-Leach-Bliley等)。

    RBAC访问控制框架应该为Web应用程序安全管理员提供确定的“谁可以执行哪些操作,何时,从何处,以何种顺序以及在某些情况下在什么关系环境下“执行操作的能力。

    使用此方法的优点是:

    • 角色是根据组织结构分配的,重点是组织安全策略
    • 使用方便
    • 易于管理
    • 内置于大多数框架中
    • 符合职责分离和最低特权等安全原则

    使用此方法时可能遇到的问题:

    • 必须严格保持角色和访问的文档。
    • 除非有办法将角色与多租户功能要求相关联,例如Active Directory中的OU,否则无法有效实施多租户
    • 存在范围蔓延的趋势,例如可以给出比预期更多的访问和特权。或者,如果未执行适当的访问查看和后续撤销,则用户可能包含在两个角色中。
    • 不支持基于数据的访问控制

    使用RBAC时的注意事项是:

    • 必须使用严格的签名和流程来转让或委派角色。
    • 当用户将其角色更改为另一个角色时,管理员必须确保撤消先前的访问权限,以便在任何给定的时间点,仅在需要知道的基础上将用户分配给那些角色。
    • 必须使用严格的访问控制审查来执行RBAC保证。

    自由访问控制(DAC)

    自由访问控制(DAC)是一种基于用户身份和某些组成员身份限制对信息的访问的方法。访问决策通常基于授权给用户的授权,该授权基于他在认证时呈现的凭证(用户名,密码,硬件/软件令牌等)。在大多数典型的DAC模型中,信息所有者或任何资源都可以自行决定更改其权限 。

    DAC框架可以为Web应用程序安全管理员提供实现细粒度访问控制的能力。该模型可以作为基于数据的访问控制的实现的基础 。

    使用此模型的优点是:

    • 使用方便
    • 易于管理
    • 符合最小特权原则。
    • 对象所有者完全控制授予的访问权限

    使用此方法时可能遇到的问题:

    • 必须严格保持角色和访问的文档。
    • 除非有办法将角色与多租户功能要求相关联,例如Active Directory中的OU,否则无法有效实施多租户
    • 存在范围蔓延的趋势,例如可以给出比预期更多的访问和特权。

    使用DAC时的注意事项是:

    • 在给予信任的同时DAC保证必须使用严格的访问控制审查。

    强访问控制(MAC)

    强制访问控制(MAC)确保组织安全策略的实施不依赖于Web应用程序用户的合规性。MAC通过在信息上分配敏感标签并将其与用户操作的灵敏度级别进行比较来保护信息。MAC通常适用于极其安全的系统,包括多级安全军事应用或关键任务数据应用。

    使用此方法的优点是:

    • 对对象的访问权限取决于对象的敏感性
    • 严格遵守基于需要知识的访问,并且范围蠕变具有最小可能性
    • 只有管理员才能授予访问权限

    使用此方法时可能遇到的问题:

    • 实施起来困难且昂贵
    • 不灵活

    使用MAC时的注意事项是:

    • 在适当和务实的层面上进行分类和敏感性分配
    • 必须执行MAC保证以确保对象的分类处于适当的级别。

    基于权限的访问控制

    基于权限的访问控制中的关键概念是将应用程序操作抽象为一组权限。权限可以被简单地表示为一个基于名称的字符串,例如“读”。通过检查当前用户是否具有与所请求的应用程序动作相关联的许可来做出访问决定。

    用户和许可之间关系可以通过创建用户和权限(称为间接关系满足许可)来表示。在间接模型中,权限授予是指中间实体,例如用户组。当且仅当用户从用户组继承权限时,才将用户视为用户组的成员。间接模型可以更轻松地管理大量用户的权限,因为更改分配给用户组的权限会影响用户组的所有成员。

    在一些基于权限的提供细粒度域对象级访问控制的访问控制系统中,可以将权限分组到类中。假设系统中的每个域对象可以与确定与相应域对象的许可的类关联。在这样的系统中,可以用权限“READ”,“WRITE”和DELETE“定义”DOCUMENT“类;可以用权限”START“,”STOP“和”REBOOT“定义”SERVER“类。

    访问控制验证要求

    描述
    验证最小特权的原则:用户应仅能够访问函数、数据文件、URL、控制器、服务和其他资源,它们处理特定的授权,它们使应用程序免受欺骗和提权。
    验证对敏感记录的访问是否实施了保护措施,这样只有授权的对象或数据才允许访问(例如:防止用户篡改参数或更改其它用户账户)
    验证目录遍历是禁用的,除非故意为之。此外应用程序不应允许发现或泄露文件或目录元数据,例如:Thumbs.db、.DS_Store、.git或.svn
    验证访问控制是否以安全的方式显示失败处理。
    验证表示层访问控制规则是否在服务器端强制执行。
    验证访问控制使用的所有用户和数据属性、策略信息不能被终端用户操纵,除非特别授权。
    验证是否存在集中化机制(包括调用外部授权服务的库),以保护对每种受保护资源的访问。
    验证是否可以记录所有访问控制决定,并记录所有失败的决定。
    验证应用程序或框架是否使用强大的随机数(抵御CSRF令牌)或具有其他事务处理保护机制。
    验证系统能抵御对安全功能、资源或数据的持续访问。例如,考虑使用资源治理器来限制每小时编辑的数量,或阻止整个数据库被单个用户独占。
    验证应用程序是否具有针对较低价值系统的额外授权(例如,升级或自适应认证)或高价值应用程序的职责隔离,以根据应用程序和过去欺诈的风险执行反欺诈控制。
    验证应用程序是否正确强制执行了上下文相关的授权,以进制通过参数篡改进行未授权的操作。
    展开全文
  • 身份认证与访问控制

    千次阅读 2019-10-23 14:09:05
    身份认证与访问控制 身份认证技术概述 身份认证的概念和种类 多数银行的网银服务,除了向客户提供U盾证书保护模式外,还推出了动态口令方式,可免除携带U盾的不便,这是一种动态密码技术,在使用网银过程中,输入...

    身份认证与访问控制

    身份认证技术概述

    身份认证的概念和种类
    多数银行的网银服务,除了向客户提供U盾证书保护模式外,还推出了动态口令方式,可免除携带U盾的不便,这是一种动态密码技术,在使用网银过程中,输入用户名后,即可通过绑定的手机一次性收到本次操作的密码,非常安全快捷方便。

    1. 身份认证的概念
    通常,身份认证基本方法有三种:用户物件认证;有关信息确认或体貌特征识别。

    认证(Authentication)是指对主客体身份进行确认的过程。

    身份认证(Identity Authentication)是指网络用户在进入系统或访问受限系统资源时,系统对用户身份的识别和验证过程。

    2. 身份认证的作用
    身份认证与鉴别是信息安全中的第一道防线,对信息系统的安全有着重要意义。可以确保用户身份的真实、合法和唯一性,可以防止非法人员进入系统,通过各种违法操作获取不正当利益、非法访问受控信息、恶意破坏系统数据的完整性等情况的发生,严防“病从口入”关口。访问控制和审计系统都依赖于身份认证系统提供的“认证信息”鉴别和审计,如图所示。
    在这里插入图片描述
    3.认证技术的种类
    认证技术是用户身份认证与信息鉴别的重要手段,也是网络系统安全中一项重要内容。
    从鉴别对象上,分为消息认证和用户身份认证:
    (1)消息认证:用于保证信息的完整性和不可否认性。
    (2)身份认证:鉴别用户身份。包括识别和验证两部分。识别是鉴别访问者的身份,验证是对访问者身份的合法性进行确认。
    从认证关系上,身份认证也可分为用户与主机间的认证和主机之间的认证,本章只讨论前者身份认证。

    常用网络身份认证方式
    1. 静态密码方式
    静态密码方式是指以用户名及密码认证的方式,用户名/密码方式是最简单、最常用的身份认证方法,是基于“你知道什么”的验证手段。

    2.动态口令认证
    动态口令是应用最广的一种身份识别方式,基于动态口令认证的方式主要有动态短信密码和动态口令牌(卡)两种方式,口令一次一密。前者是将系统发给用户注册手机的动态短信密码进行身份认证。后者则以发给(机构)用户动态口令牌进行认证。

    3. USB Key认证
    采用软硬件相结合、一次一密的强双因素(两种认证方法)认证模式.其身份认证系统有两种认证模式:基于PKI体系的认证模式、基于冲击/响应模式。
    4. 生物识别技术
    是指通过可测量的身体或行为等生物特征信息进行身份认证的技术。

    1. 指纹识别技术。
    2. 视网膜识别技术。
    3. 声音识别技术。

    5. CA认证系统
    CA(Certification Authority)认证是对网络用户身份证的发放、管理和确认验证的过程。
    CA的主要职能体现在3个方面:
    (1)管理和维护客户的证书和证书作废表(CRL)。
    (2)维护整个认证过程的安全。
    (3)提供安全审计的依据。

    证书的类型与作用
    在这里插入图片描述
    身份认证系统构成及方法
    1. 身份认证系统的构成
    身份认证系统的组成一般包括三个部分:认证服务器、认证系统客户端和认证设备。系统主要通过身份认证协议和认证系统进行实现。身份认证协议又分为:单向认证协议和双向认证协议。若通信双方只需一方鉴别另一方的身份,则称单项认证协议;如果双方都需要验证身份,则称双向认证协议。认证系统网络结构图,如图6-4。
    在这里插入图片描述
    AAA(Authentication,Authorization,Accounting)认证系统应用最广泛。其中认证(Authentication)是验证用户身份与可使用网络服务的过程,授权(Authorization)是依据认证结果开放网络服务给用户的过程,计费审计(Accounting)是记录用户对各种网络操作及服务的用量,并进行计费审计的过程。
    AAA系统及接口是身份认证系统的关键部分。系统中专门设计的AAA平台,可实现灵活的认证、授权、审计功能,且系统预留了扩展接口,可根据具体业务系统的需要,灵活进行相应的扩展和调整。

    常用认证系统及认证方法
    ( 1) 固定口令认证及隐患
    固定口令认证方式简单,易受攻击:
    1)网络数据流窃听(Sniffer)。
    2)认证信息截取/重放。
    3)字典攻击。
    4)穷举尝试(Brute Force)。
    5)窥探密码。
    6)社会工程攻击(冒充)。
    7)垃圾搜索。

    ( 2)一次性(动态)口令方式
    一次性口令认证系统组成:
    1)生成不确定因子。
    2)生成一次性口令。

    (3)双因素安全令牌及认证系统
    E-Securer安全身份认证系统是面向安全领域的AAA系统,提供了双因素身份认证、统一授权、集中审计等功能,可以为网络设备、VPN、主机系统、数据库系统、WEB服务器、应用服务系统等提供集中的身份认证和权限控制。
    *双因素身份认证系统组成

    1. 身份认证服务器提供数据存储、AAA服务、管理等功能,是整个系统的核心部分。
    2. 双因素安全令牌(Secure Key)用于生成用户当前登录的动态口令,采用加密算法及可靠设计,可防止读取密码信息。
    3. 认证代理(Authentication Agent)安装在被保护系统上,被保护系统通过认证代理向认证服务器发送认证请求,从而保证被保护系统身份认证的安全。

    (4)单点登入系统
    在大型网络系统中,面对各种服务器系统认证方法与手段。在查看邮件、访问工资查询系统或登入公司分支机构时,总要记住不同的用户名和口令。不仅不易管理,也为网络安全留下隐患,为此产生了单点登入系统。

    单点登入(Single Sign On,SSO)也称单次登入,是在多个应用系统中,用户只需要登入一次就可访问所有相互信任的应用系统。

    单点登入的优点体现在5个方面:
    1)管理简单。
    2)管理控制便捷。
    3)用户使用简捷。
    4)安全性更高。
    5)合并异构网络。

    银行认证授权管理应用
    1.认证与授权管理体系
    某银行机构的认证与授权管理的体系,对于银行机构的网络安全至关重要,如图所示。
    在这里插入图片描述
    *2. 认证授权管理的原则
    为实现上述的目标,应遵循的指导原则:
    (1)统一规划管理,分步部署实施

    1. 进行认证和授权管理的统一规划,并制订工作计划;
    2. 制订及维护认证和授权相关业务流程;
    3. 统一用户编码规则,制订及维护认证凭证政策;
    4. 确定用户身份信息的数据源和数据流,并进行数据质量管理;
    5. 认证和授权分权管理委派;
    6. 对银行认证和授权的现状进行周期性的审计和跟踪。

    (2) 建立统一信息安全服务平台,提供统一身份认证和访问管理服务

    (3) 保护现有IT投资,并便于未来扩展

    数字签名技术

    1.数字签名的概念
    数字签名(Digital Signature)又称公钥数字签名或电子签章,是以电子形式存储于信息中或以附件或逻辑上关联数据, 用于辨识数据签署人身份,表明签署人对数据中所包含信息的认可。

    基于公钥或私钥密码体制都可获得数字签名,目前主要是基于公钥密码体制数字签名。包括普通数字签名和特殊数字签名两种。

    2.数字签名的方法和功能
    主要方法①基于PKI的公钥密码技术的数字签名;②用一个以生物特征统计学为基础的识别标识,如手书签名和图章的电子图像的模式识别;③手印、声音印记或视网膜扫描的识别;④一个让收件人能识别发件人身份的密码代号、密码或个人识别码PIN;⑤基于量子计算机文件等。比较成熟的、使用方便具有可操作性的、在世界先进国家和普遍使用电子签名技术基于PKI的数字签名技术。

    数字签名算法组成主要有2部分:签名算法和验证算法。
    保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖行为发生。数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者。
    最终目的是实现6种安全保障功能:
    (1)必须可信。(2)无法抵赖。(3)不可伪造。
    (4)不能重用。(5)不许变更。(6)处理快、应用广。

    数字签名的种类
    1.手写签名或图章识别
    将手写签名或印章作为图像,扫描后在数据库中加以存储,当验证此人的手写签名或盖印时,也用光扫描输入,并将原数据库中的对应图像调出,用模式识别方法对将两者进行比对,以确认该签名或印章的真伪。

    2.生物识别技术
    生物识别技术是利用人体生物特征进行身份认证的一种技术。生物特征是一个人的唯一表征,可以测量、自动识别和验证。生物识别系统对生物特征进行取样,提取其唯一的特征进行数字化处理,转换成数字代码,并进一步将这些代码组成特征模板存于数据库中。

    3. 密码、密码代号或个人识别码
    主要指用一种传统的对称密钥加/解密的身份识别和签名方法。甲方需要乙方签名一份电子文件,甲方可产生一个随机码传送给乙方,乙方用事先双方约定好的对称密钥加密该随机码和电子文件回送给甲方,甲方用同样的对称密钥解密后得到电文并核对随机码,如随机码核对正确,甲方即可认为该电文来自乙方。

    4.基于量子力学的计算机(文件)
    基于量子力学的计算机被称作量子计算机,是以量子力学原理直接进行计算的计算机。比传统的图灵计算机具有更强大的功能,计算速度要比现代的计算机快几亿倍。

    5.基于PKI 的电子签名
    基于PKI 的电子签名被称作数字签名。有人称“电子签名”就是“数字签名”,其实这是一般性说法,数字签名只是电子签名的一种特定形式。

    数字签名过程及实现
    1. 身份认证的实现
    PKI 提供的服务首先是认证,即身份识别与鉴别,就是确认实体即为自己所声明的实体。认证的前提是双方都具有第三方CA所签发的证书,认证分为单向认证和双向认证。

    1. 单向认证。
    2. 双向认证。
      在这里插入图片描述
      2. 数字签名过程
      网上通信的双方,在互相认证身份之后,即可发送签名的数据电文。数字签名的全过程分两大部分,即签名与验证。数字签名与验证的过程和技术实现的原理,如图6-6。
      在这里插入图片描述
      3.数字签名的操作过程
      数字签名的操作过程如图6-7所示,需要有发方的签名证书的私钥及其验证公钥。

    4.数字签名的验证过程
    收方收到发方的签名后进行签名验证,其具体操作过程如图6-8所示。
    在这里插入图片描述
    5.原文保密的数据签名的实现方法
    上述数字签名原理中定义的对原文做数字摘要及签名并传输原文,实际上在很多场合传输的原文要求保密,不许别人接触。要求对原文加密的数字签名方法的实现涉及到“数字信封”问题,此处理过程稍复杂一些,但数字签名的基本原理仍相同,其签名过程如图所示。
    在这里插入图片描述

    访问控制技术

    1.访问控制的概念及任务
    访问控制(Access Control)指针对越权使用资源的防御措施,即判断使用者是否有权限使用或更改某一项资源,并防止非授权使用者滥用资源。目的是限制访问主体对访问客体的访问权限。

    访问控制包含三方面含义:一是机密性控制,保证数据资源不被非法读出;二是完整性控制,保证数据资源不被非法增加、改写、删除和生成;三是有效性控制,保证资源不被非法访问主体使用和破坏。主要任务是保证网络资源不被非法使用,也是保护网络系统和资源安全的重要手段。访问控制三个要素:
    (1)主体S(Subject).指提出访问资源具体请求方.
    (2)客体O(Object). 指被访问资源的实体。
    (3)控制策略A(Attribution)。主体对客体的访问控制规则。

    2. 访问控制的功能和内容
    访问控制的主要功能包括:保证合法用户访问受权保护的网络资源,防止非法的主体进入受保护的网络资源,或防止合法用户对受保护的网络资源进行非授权的访问。

    访问控制的内容包括三个方面:
    (1)认证:包括主体对客体的识别认证和客体对主体检验认证
    (2)控制策略的具体实现:如何设定规则集合从而确保正常用户对信息资源的合法使用,既要防止非法用户,也要考虑敏感资源的泄漏,对于合法用户而言,更不能越权行使控制策略所赋予其权利以外的功能。
    (3)安全审计:使系统自动记录网络中的“正常”操作、“非正常”操作以及使用时间、敏感信息等。
    在这里插入图片描述
    访问控制规则和管理
    1. 访问控制的层次
    可将访问控制分为2个层次:
    1)物理访问控制包括标准的钥匙、门锁和设备标签等.
    2)逻辑访问控制在数据、应用、系统和网络等层面实现。
    对于银行、证券等重要金融机构的网站,网络信息安全重点关注的是逻辑访问控制,物理访问控制则主要由其他类型的安全部门完成。

    2. 访问控制的模式
    主要的访问控制模式有三种:
    (1)自主访问控制(DAC).在自主访问控制下,用户可以按自己的意愿,有选择地与其他用户共享他的文件。
    (2)强制访问控制(MAC)
    (3)基于角色的访问控制(RBAC)

    3. 访问控制规则
    (1)访问者
    主体对客体访问可以基于身份,也可基于角色。即“访问者”可以是身份标识或角色。从业务角度对系统进行统一的角色定义是实现统一访问管理的最佳实践。
    (2) 资源保护
    对资源保护包括两个层面:物理层和逻辑层。
    (3) 访问控制规则
    四要素:访问者(主体),资源(客体),访问请求和访问响应。
    在这里插入图片描述
    4. 单点登入的访问管理
    根据登入的应用类型不同,可分为3种类型.
    1)对桌面资源的统一访问管理
    对桌面资源的访问管理,包括两个方面:
    ①登入Windows后统一访问应用资源。
    ②登入Windows后访问其他应用资源。
    2)Web单点登入
    由于Web技术体系架构便捷,对Web资源的统一访问管理易于实现,如图6-8所示。
    3)对传统C/S 结构应用的统一访问管理
    在传统C/S 结构应用上,实现管理前台的统一或统一入口是关键.采用Web客户端作为前台是企业最为常见的一种解决方案。
    在这里插入图片描述
    访问控制的安全策略
    1. 安全策略实施原则
    访问控制安全策略是指在某个自治区域内(属于某个组织/机构的一系列处理和通信资源范畴), 用于所有与安全相关活动的一套访问控制规则. 其安全策略有三种类型:基于身份的安全策略、基于规则的安全策略和综合访问控制方式。
    访问控制安全策略原则集中在主体、客体和安全控制规则集三者之间的关系。
    (1)最小特权原则。
    (2)最小泄露原则。
    (3)多级安全策略。

    2. 访问控制安全策略的实现
    访问控制安全策略三种实现方式:
    (1)基于身份的安全策略
    基于身份的安全策略是过滤对数据或资源的访问,只有通过认证的主体才能正常使用客体的资源。基于身份的安全策略包括基于个人的策略和基于组的策略,主要有两种基本的实现方法:能力表和访问控制表。
    (2)基于规则的安全策略
    策略中的授权通常依赖于敏感性。在安全策略系统中,所有数据和资源都标注了安全标记,用户的活动进程与其原发者具有相同的安全标记。

    (3)综合访问控制策略
    综合访问控制策略(HAC)继承并吸取多种主流访问控制技术优点,有效地解决了访问控制问题,保护数据的保密性和完整性,保证授权主体能访问客体和拒绝非授权访问.特点:具有良好灵活性、可维护性,可管理性、更精准的访问控制性和更高安全性。
    HAC主要包括:
    (1)入网访问控制。
    (2)网络(资源-服务)权限控制。
    (3)目录级安全控制。
    (4)属性安全控制。
    (5)网络服务器安全控制。
    (6)网络监控和锁定控制。
    (7)网络端口和结点的安全控制。
    (8)防火墙控制

    3.网上银行访问控制的安全策略
    为了让用户安全、放心地使用网上银行,通常在网上银行系统采取了八大安全策略,以全面保护的信息资料与资金的安全。
    (1)加强证书存储安全。
    (2)动态口令。
    (3)先进技术的保障。
    (4)双密码控制,并设定密码安全强度。
    (5)交易限额控制。
    (6)信息提示,增加透明度。
    (7)客户端密码安全检测。
    (8)短信服务

    网络安全审计

    1. 安全审计的概念及目的
    网络安全审计(Audit)是指按照一定安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,发现系统漏洞、入侵行为或改善系统性能的过程。也是审查评估系统安全风险并采取相应措施的一个过程。
    主要作用和目的包括5个方面:
    (1)对潜在攻击者起到威慑和警示作用。
    (2)测试系统的控制情况,及时调整。
    (3)对已出现的破坏事件,做出评估并提供依据。
    (4)对系统控制、安全策略与规程中的变更进行评价和反馈,以便修订决策和部署。
    (5)协助发现入侵或潜在的系统漏洞及隐患。

    2. 安全审计的类型
    从审计级别上可分为3种类型:
    (1)系统级审计。主要针对系统的登入情况、用户识别号、登入尝试的日期和具体时间(次数)、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查。
    (2)应用级审计。主要针对的是应用程序的活动信息。
    (3)用户级审计。主要是审计用户的操作活动信息。

    3. 安全审计系统的基本结构
    安全审计是通过对所关心的事件进行记录和分析来实现的,因此审计过程包括审计发生器、日志记录器、日志分析器和报告机制几部分,如图6-12所示。
    在这里插入图片描述
    系统日记安全审计
    1. 系统日志的内容
    系统日志主要根据网络安全级别及强度要求,选择记录部分或全部的系统操作。
    对于单个事件行为,通常系统日志主要包括:事件发生的日期及时间、引发事件的用户IP地址、事件源及目的地位置、事件类型等。

    2. 安全审计的记录机制
    对各种网络系统应采用不同记录日志机制。记录方式有3种:由操作系统完成,也可由应用系统或其他专用记录系统完成。

    Syslog是一种日志记录方法,程序中凡用其记录信息都发送到该服务器,根据配置决定此信息记录及位置,使系统内应用程序都能以统一方式记录日志,为系统日志的统一审计提供方便。

    Syslog安全审计的记录机制
    在这里插入图片描述
    3. 日志分析
    日志分析的主要目的是在大量的记录日志信息中找到与系统安全相关的数据,并分析系统运行情况.主要任务包括:
    (1)潜在威胁分析。 (2)异常行为检测。
    (3)简单攻击探测。 (4)复杂攻击探测。

    4. 审计事件查阅与存储
    审计系统可成为追踪入侵、恢复系统的直接证据,其自身的安全性更为重要。审计系统的安全主要包括审计事件查阅安全和存储安全。保护查阅安全措施:
    (1)审计查阅。
    (2)有限审计查阅。
    (3)可选审计查阅。

    审计事件的存储安全要求:
    (1)保护审计记录的存储。
    (2)保证审计数据的可用性。
    (3)防止审计数据丢失。

    审计跟踪及应用
    1. 审计跟踪的概念及意义
    审计跟踪(Audit Trail)指按事件顺序检查、审查、检验其运行环境及相关事件活动的过程。主要用于实现重现事件、评估损失、检测系统产生的问题区域、提供有效的应急灾难恢复、防止系统故障或使用不当等方面。
    审计跟踪作为一种安全机制其目标:
    (1)审计系统记录有利于迅速发现系统问题,及时处理事故,保障系统运行。
    (2)可发现试图绕过保护机制的入侵行为或其他操作。
    (3)能够发现用户的访问权限转移行为。
    (4)制止用户企图绕过系统保护机制的操作事件。

    审计跟踪是提高系统安全性的重要工具其意义:
    (1)利用系统的保护机制和策略,及时发现并解决系统问题,审计客户行为。
    (2)审计信息可以确定事件和攻击源,用于检查网络犯罪。
    (3)通过对安全事件的收集、积累和分析,可对其中的某些站点或用户审计跟踪,以提供发现可能产生破坏性行为的证据。
    (4)既能识别访问系统来源,又能指出系统状态转移过程。

    2. 审计跟踪的主要问题
    安全审计跟踪重点考虑:
    (1)选择记录信息内容。
    (2)确定审计跟踪信息所采用的语法和语义定义。
    审计是系统安全策略的一个重要组成部分,贯穿整个系统运行过程中,覆盖不同的安全机制,为其他安全策略的改进和完善提供必要的信息。

    为了确保审计实施的可用性和正确性,需要在保护和审查审计数据的同时,做好计划分步实施. 具体实施主要包括:保护审查审计数据及审计工具与步骤。

    1. 保护审计数据
      应当严格限制在线访问审计日志。
      审计数据保护常用方法: 用数据签名和只读设备存储数据。
      审计跟踪信息的保密性也应进行严格保护。

    2. 审查审计数据
      审计跟踪的审查与分析可分为事后检查、定期检查和实时检查3种。

    3. 审计工具与步骤
      1)审计精选工具。 2)趋势/差别探测工具。 3)攻击特征探测工具。

    金融机构审计跟踪的实施
    1.审计跟踪系统概述
    审计跟踪系统会执行系统方面的策略,如对文件及系统的访问。对实施这些策略的相关系统配置文件改动的监控十分重要,系统须在相关访问发生时生成审计记录。审计跟踪可提供更详细记录。对于重要应用还需对用户和使用细节记录。系统管理员不仅会对所有系统和活动监控,同时也应选择记录某个应用在系统层面上的具体功能。包括审计跟踪任何试图登陆的情况,登陆ID、每次登陆尝试时间和日期、终止登陆时间和日期、使用的设备、登陆成功后使用的功能。

    2.系统安全审计跟踪的实施
    1)不同系统在不同情况下审计跟踪信息所记录的内容有一定差异
    2)对在线审计日志的访问须严格控制。
    3)审计跟踪信息在保留期限到期后应立即予以删除和销毁。
    4)审计跟踪审核分析方式,3种:
    审计跟踪事后审核。
    审计跟踪阶段性审核。
    实时审计分析。
    5)审计跟踪分析的工具。

    展开全文
  • PHP处理Web请求流程分析

    千次阅读 2016-05-05 16:22:08
    转自:http://www.eurekao.com/php-processing-web-request-analysis/ PHP作为世界上最好的编程语音,被广泛的运用...PHP世界里也涌现了很多开发框架,比如Laravel、ThinkPHP等,但不论何总框架,他们在处理We
  • 前言:Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能,一个功能复杂的业务应用系统,通过角色授权来控制用户访问,本文通过Form认证,Mvc的Controller基类及Action的权限验证来实现Web系统登录,Mvc...
  • CISSP-D5-身份与访问控制

    千次阅读 2022-01-21 16:55:48
    D5:身份与访问管理 一、身份与访问管理相关概念: D5-1~...访问控制包含的范围很广,他涵盖了几种对计算机系统、网络和信息资源进行访问控制和不同机制。 访问控制是防范计算机系统和资源被未授权访问的第一道防线 2
  • web项目处理高并发解决思路

    万次阅读 2019-06-06 10:14:43
    解决因分布、带宽、服务器性能带来的访问延迟问题,适用于站点加速、秒杀、点播、直播等场景。使用户可以就近取得所需内容,解决Internet网络拥挤的状况,提高用户访问网站的响应速度和成功率。 通俗讲就是讲web...
  • 【安全】Web渗透测试(全流程

    万次阅读 多人点赞 2019-10-12 09:59:10
    1 信息收集 1.1域名、IP、端口 域名信息查询:信息可用于后续渗透 IP信息查询:确认域名对应IP,...发现:一共开放两个端口,80为web访问端口,3389为windows远程登陆端口,嘿嘿嘿,试一下 发现:是Window...
  • Web安全基础知识 1

    千次阅读 多人点赞 2021-02-22 10:42:13
    1. Web请求流程概览 2. Web中间件 中间件 (Middleware) 是一种连接软件组件和应用的计算机软件,它包括一切服务,一边运行在一台或多台机器上的软件通过网络进行交互,该技术所提供的互操作性推动了一致分布式体系...
  • java web后台使用异常控制业务流程

    千次阅读 2018-08-03 18:37:59
    controller负责调用业务方法和返回前台数据,service层负责处理业务逻辑返回数据到controller,dao负责访问数据库。因为service返回的数据需要在controller层包装下才能返回到前台。而service的返回值只有一种。对于...
  • Web请求处理

    千次阅读 2016-12-04 15:39:43
    http://blog.jobbole.com/100461/最近,终于要把《WEB请求处理系列》提上日程了,一直答应小伙伴们给分享一套完整的WEB请求处理流程:从浏览器、Nginx、Servlet容器,最终到应用程序WEB请求的一个处理流程,前段时间...
  • 什么是Web应用程序防火墙?

    千次阅读 2021-05-28 16:01:48
    Web应用程序防火墙/WAF简介 Web应用程序防火墙(WAF)为来自恶意安全攻击(例如SQL注入,跨站点脚本(XSS))的在线服务提供Web安全。 WAF安全性可以检测并过滤掉可能会使在线应用程序降级,损害或使在线应用程序...
  • CISSP第三章 访问控制

    千次阅读 2019-12-24 18:30:14
    自主访问控制、强制访问控制和非自主访问控制 可问责性、监控和审计实践 发射安全和技术 入侵检测系统 访问控制实践和技术中可能遇到的安全威胁 3.1 访问控制概述 访问是主体和客体之间进行的信息流动。 ...
  • Web—文件上传

    千次阅读 2022-02-21 16:27:35
    概念:文件上传攻击是指攻击者利用Web应用对上传文件过滤不严的漏洞,将应用程序定义类型范围之外的文件上传到Web服务器,并且此类文件通常为木马,在上传成功后攻击者即可获得当前文件的webshell。 攻击者的目标是...
  • 大数据处理流程

    万次阅读 多人点赞 2019-02-21 16:53:13
    大数据处理流程 1. 数据处理流程 网站流量日志数据分析是一个纯粹的数据分析项目,其整体流程基本上就是依据数据的处理流程进行。有以下几个大的步骤: 1.1 数据采集 &nbsp;&nbsp;&nbsp;&nbsp;&...
  • Web常见安全漏洞

    千次阅读 2022-04-15 12:38:41
    1 越权漏洞 越权指主体逾越权限访问资源。...功能越权需从功能层面考虑,往往需要从接口层面限制,比如在Java程序种接口方法添加角色校验注解,程序处理注解检查当前登录用户是否具有相应的权限。 1.1
  • webapi项目通常需要考虑跨域,安全性等问题。今天总结一种最简单的方式,来保障webapi不被别人随便调用。这里总结下identityserver4的使用。 IdentityServer4 是最新也是比较容易上手的一个开源框架,你要是从...
  • 限制对Web资源的访问 现在,可以指示服务器使用何种验证方法了。"了不起,"你说道,"除非我能指定一个来收到保护的URL,否则没有多大用处。"没错。指出这些URL并说明他们应该得到何种保护正是security-constriaint...
  • web网络安全防护方案

    千次阅读 2022-02-07 10:42:45
    Web信息系统高速发展的今天,Web信息系统的各种各样的... · Web应用程序的安全性(在Web服务器上运行的Java、 ActiveX、PHP、ASP代码的安全)。  Web服务器面临的攻击  Web服务器攻击利用Web服务器软件和配...
  • WEB基础知识

    千次阅读 2020-09-23 17:00:58
    是建立在Internet上的一种网络服务,为浏览者在Internet上查找和浏览信息提供了图形化的、易于访问的直观界面,其中的文档及超级链接将Internet上的信息节点组织成一个互为关联的网状结构。 web发展史 起源 1989年...
  • 十大漏洞:SQL注入、跨站脚本、失效的访问控制、失效的身份认真和会话、安全配置错误、敏感信息泄露、攻击检测与防范不足、跨站请求伪造、使用含有已知漏洞的组件、未受保护的APIs。在系统架构设计、技术选型和编码...
  • 最近,终于要把《WEB请求处理系列》提上日程了,一直答应小伙伴们给分享一套完整的WEB请求处理流程:从浏览器、Nginx、Servlet容器,最终到应用程序WEB请求的一个处理流程,前段时间由于其他工作事情的安排,一直未...
  • web的基本工作流程

    千次阅读 2017-05-25 20:37:44
    结语前言最近在学习web安全方面相关的知识,小白一枚,也是从基础开始学起吧,希望可以把所学的进行总结写到博客里,以前学习的时候没有总结的习惯,不太会系统的处理知识,现在希望可以学着进行总结,总结的好处...
  • SpringMVC处理请求的流程

    千次阅读 2016-10-09 09:38:53
    Spring Web MVC是一种基于Java的实现了Web MVC设计模式的请求驱动类型的轻量级Web框架,即使用了MVC架构模式的思想,将web层进行职责解耦,基于请求驱动指的就是使用请求-响应模型,框架的目的就是帮助我们简化开发...
  •  应用程序访问控制  加密方式在访问控制系统中的应用 第二章 强制访问控制与自主访问控制  强制访问控制(MAC)  自主访问控制(DAC) 第三章 访问控制模型  BELL-LAPADULA保密性模型  LATTICE安全...
  • 一个基于角色的WEB 安全访问控制系统 赵锐 河北工业职业技术学院计算机技术系软件专业 Email: zr04rj@hotmail.com 摘要 在WEB安全...对现行的Web 安全认证和访问控制中存在的问题和隐患进行了分析,并给出了一种新
  • Web工作的基本流程

    千次阅读 多人点赞 2018-07-12 10:02:45
    目录目录前言web的基本工作流程web中的一些基本概念HTTPweb客户端和服务端URIURLURNHTTP报文浏览器的工作流程连接结语前言最近在学习web安全方面相关的知识,小白一枚,也是从基础开始学起吧,希望可以把所学的进行...
  • 常见Web安全漏洞总结及推荐解决方案1.SQL注入:2.不安全的会话管理漏洞:3.任意文件上传:4.任意文件读取:5.任意代码执行:6.越权访问:7.敏感信息泄露:8.XSS跨站脚本攻击:9.CSRF跨站请求伪造:10.用户名/口令...
  • 问题1:无法通过 Service 名称访问 如果你是访问的Service名称,需要确保CoreDNS服务已经部署: [root@k8s-master ~]# kubectl get pods -n kube-system NAME READY STATUS RESTARTS AGE coredns-7f89b7bc75-...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 227,477
精华内容 90,990
热门标签
关键字:

web访问控制处理流程