权限安全管控的设计想法是(权限安全管控的设计想法是什么)
发布时间:2024-02-26 点击:30
本文主要介绍权限安全控件的设计思想是什么(权限安全控件的设计思想是什么),下面一起看看权限安全控件的设计思想是什么(权限安全控件的设计思想是什么)相关资讯。
owasp发布了最新的《2021年版owasp top 10》,其中 打破访问控制 排名第一。访问控制安全是常规安全产品难以解决的逻辑漏洞安全之一,也是应用层中危害最大的。基于此,参考以往遇到的此类问题,我提出了一些想法。【个人想法,注意沟通】
各个角度,细颗粒。1.尽量减少访问控制授权;建立完善的权限级别管理模型,对访问控制的权限查询、分配、授权和撤销进行有效管理和监控。
2、对每组数据和接口/页面的粒度控制;一般来说,访问控制的粒度是从三个层次来管理的:页面、接口和数据。更细粒度的方法是以数据为键来管理权限和控制访问控制。
3.建立统一的访问控制权限验证接口或模块;访问控制权限的查询、分配、授权和撤销应建立统一的管理接口或验证接口,并对权限进行统一管理。
4、访问控制统一权限检查查询;每一次数据查询都要进行检查和验证,每一次数据查询都要进行访问权限验证接口调用(或者页面渲染和接口调用),以验证权限分配和授权的合法性。权限为空的数据查询、页面渲染和接口调用应记录在一个本子上,其他权限为非空的数据查询、页面渲染和接口调用应统一检查、查询、分配、授权和撤销。
全程监控,便于追踪。1.访问控制的权限管理日志;需要记录所有的权限(管理)查询、分配、授权、撤销和验证。
2.访问控制权限监控日志;在授予所有合法权限后,有必要记录全周期操作历史。
3.访问控制权限风险日志;需要记录所有非空权限的强制请求,设置安全阈值,进行记录、警告、强制报废、锁号等定制化的风险应对。
温馨提示:权限的设计模式要以安全性为基础,不能有严重的设计缺陷。总体情况:
对自动攻击的响应
自动化攻击是目前成本较低的攻击手段,爆破、目录遍历、参数遍历、模糊手段等安全风险是自动化攻击的主要目标。鉴于这些,验证码一般是为了避免被爆破猜到,为了避免安全穿越问题带来的安全隐患,一般采用来降低危害。
授权周期的安全性
在执行高度敏感的操作(或访问)时,应给予临时授权或一次授权,并按照全程监控、易于追溯的原则(全周期:分配-查询-验证-授权-撤销-注销),将每次授权操作的内容记录在全周期日志中,这里更重要。这是一个周期长短的问题。理论上不应授予长期授权经营,但 运行后申请,完成后取消,并完整记录周期和来限制循环的持续时间。到时候应该撤销授权操作,可以考虑强制退休的策略。这里的授权操作并不是指管理员每次都需要去系统进行操作,而是管理员在实现后已经把权限分配给了用户,只是这个权限存在于权限分配表中。每执行一次操作,都需要去正确的分配表检查自己是否有授权资格,执行授权。超过规定时间后,授权自动结束,授权被撤销。此后,您需要再次执行检查授权资格的步骤。从检查授权资格的步骤开始,记录每一次授权操作的全过程。对记录在授权分配表中的权限分配项目执行整个周期中的分配和取消。
监控授权周期
基于 的原则全面监控和方便的可追溯性,建立访问控制权限的全周期,以可视化、可追溯、可定位的记录重要授权操作的全过程。如上,这里可视化的实现可以是多样化的,目的是采用链式跟踪直到授权撤销的模式实现每一次授权的每一次操作。这需要注意 可定位性和。一般情况下,发生安全事故后,应立即追溯该功能点,并以链式、可追溯的查看和显示所有执行过该操作的授权(日志)记录。
指出访问控制权限控制的关键点是 细颗粒授权控制和全周期监测授权运行;。
标签:
许可访问控制
了解更多权限安全控件的设计思想是什么(权限安全控件的设计思想是什么)相关内容请关注本站点。
固态 缓存,买SSD固态硬盘时那个缓存数值 是用来干什么的
6000预算台式电脑配置,求6000左右的台式机配置清单
iphone xs max关机不了(iphonexsmax没法关机)
惠普笔记本黑屏后怎样唤醒,HP电脑睡眠唤醒
惠普打印机电脑无线连接教程,惠普无线打印机wifi设置方法
最新台式电脑主机配置表,台式机配置
ipad怎么查电池损耗率(怎样查ipad电池健康)
惠普笔记本选哪款比较好,惠普哪款笔记本好
owasp发布了最新的《2021年版owasp top 10》,其中 打破访问控制 排名第一。访问控制安全是常规安全产品难以解决的逻辑漏洞安全之一,也是应用层中危害最大的。基于此,参考以往遇到的此类问题,我提出了一些想法。【个人想法,注意沟通】
各个角度,细颗粒。1.尽量减少访问控制授权;建立完善的权限级别管理模型,对访问控制的权限查询、分配、授权和撤销进行有效管理和监控。
2、对每组数据和接口/页面的粒度控制;一般来说,访问控制的粒度是从三个层次来管理的:页面、接口和数据。更细粒度的方法是以数据为键来管理权限和控制访问控制。
3.建立统一的访问控制权限验证接口或模块;访问控制权限的查询、分配、授权和撤销应建立统一的管理接口或验证接口,并对权限进行统一管理。
4、访问控制统一权限检查查询;每一次数据查询都要进行检查和验证,每一次数据查询都要进行访问权限验证接口调用(或者页面渲染和接口调用),以验证权限分配和授权的合法性。权限为空的数据查询、页面渲染和接口调用应记录在一个本子上,其他权限为非空的数据查询、页面渲染和接口调用应统一检查、查询、分配、授权和撤销。
全程监控,便于追踪。1.访问控制的权限管理日志;需要记录所有的权限(管理)查询、分配、授权、撤销和验证。
2.访问控制权限监控日志;在授予所有合法权限后,有必要记录全周期操作历史。
3.访问控制权限风险日志;需要记录所有非空权限的强制请求,设置安全阈值,进行记录、警告、强制报废、锁号等定制化的风险应对。
温馨提示:权限的设计模式要以安全性为基础,不能有严重的设计缺陷。总体情况:
对自动攻击的响应
自动化攻击是目前成本较低的攻击手段,爆破、目录遍历、参数遍历、模糊手段等安全风险是自动化攻击的主要目标。鉴于这些,验证码一般是为了避免被爆破猜到,为了避免安全穿越问题带来的安全隐患,一般采用来降低危害。
授权周期的安全性
在执行高度敏感的操作(或访问)时,应给予临时授权或一次授权,并按照全程监控、易于追溯的原则(全周期:分配-查询-验证-授权-撤销-注销),将每次授权操作的内容记录在全周期日志中,这里更重要。这是一个周期长短的问题。理论上不应授予长期授权经营,但 运行后申请,完成后取消,并完整记录周期和来限制循环的持续时间。到时候应该撤销授权操作,可以考虑强制退休的策略。这里的授权操作并不是指管理员每次都需要去系统进行操作,而是管理员在实现后已经把权限分配给了用户,只是这个权限存在于权限分配表中。每执行一次操作,都需要去正确的分配表检查自己是否有授权资格,执行授权。超过规定时间后,授权自动结束,授权被撤销。此后,您需要再次执行检查授权资格的步骤。从检查授权资格的步骤开始,记录每一次授权操作的全过程。对记录在授权分配表中的权限分配项目执行整个周期中的分配和取消。
监控授权周期
基于 的原则全面监控和方便的可追溯性,建立访问控制权限的全周期,以可视化、可追溯、可定位的记录重要授权操作的全过程。如上,这里可视化的实现可以是多样化的,目的是采用链式跟踪直到授权撤销的模式实现每一次授权的每一次操作。这需要注意 可定位性和。一般情况下,发生安全事故后,应立即追溯该功能点,并以链式、可追溯的查看和显示所有执行过该操作的授权(日志)记录。
指出访问控制权限控制的关键点是 细颗粒授权控制和全周期监测授权运行;。
标签:
许可访问控制
了解更多权限安全控件的设计思想是什么(权限安全控件的设计思想是什么)相关内容请关注本站点。
固态 缓存,买SSD固态硬盘时那个缓存数值 是用来干什么的
6000预算台式电脑配置,求6000左右的台式机配置清单
iphone xs max关机不了(iphonexsmax没法关机)
惠普笔记本黑屏后怎样唤醒,HP电脑睡眠唤醒
惠普打印机电脑无线连接教程,惠普无线打印机wifi设置方法
最新台式电脑主机配置表,台式机配置
ipad怎么查电池损耗率(怎样查ipad电池健康)
惠普笔记本选哪款比较好,惠普哪款笔记本好