請問大家在java企業應用中功能url偽造如何防範的?
比如在一個圖書管理的應用中,我們原來只用了一個Filter來檢視該使用者是否登入,登入的話顯示主介面,點選選單做相應的功能。
那麼有個普通使用者只有圖書查詢的功能,但是如果他知道使用者管理的url,就能在瀏覽器裡直接輸入url進入使用者管理從而取得管理員許可權。
為了彌補這個漏洞,我們又加了一個Filter,透過正規表示式驗證該使用者是否有許可權執行該url,有繼續,否則提示沒有許可權。對於那些頁面上的按鈕也這樣處理。
由於管理員配置的是功能許可權,往往一個功能會對應多個url(例如“新增圖書”這個功能會對應進入圖書資訊輸入頁面的url和儲存輸好的圖書資訊的url),用Filter過濾由於要用servlet中的url匹配系統中配置好的多個正規表示式,效果比較差。
另外,對於頁面上有些不需要許可權的按鈕處理起來也比較麻煩,因為需要對這個按鈕對應的url需要配置一個正規表示式,只要匹配這個表示式可以無條件執行。
暫時只能想到這種方法來應對,感覺相當複雜,不知道有沒有更好的方法,有大俠願意討論一下麼?
那麼有個普通使用者只有圖書查詢的功能,但是如果他知道使用者管理的url,就能在瀏覽器裡直接輸入url進入使用者管理從而取得管理員許可權。
為了彌補這個漏洞,我們又加了一個Filter,透過正規表示式驗證該使用者是否有許可權執行該url,有繼續,否則提示沒有許可權。對於那些頁面上的按鈕也這樣處理。
由於管理員配置的是功能許可權,往往一個功能會對應多個url(例如“新增圖書”這個功能會對應進入圖書資訊輸入頁面的url和儲存輸好的圖書資訊的url),用Filter過濾由於要用servlet中的url匹配系統中配置好的多個正規表示式,效果比較差。
另外,對於頁面上有些不需要許可權的按鈕處理起來也比較麻煩,因為需要對這個按鈕對應的url需要配置一個正規表示式,只要匹配這個表示式可以無條件執行。
暫時只能想到這種方法來應對,感覺相當複雜,不知道有沒有更好的方法,有大俠願意討論一下麼?
[該貼被openeyes於2011-03-02 16:05修改過]
相關文章
- Django中如何防範CSRF跨站點請求偽造攻擊Django
- PDM技術在製造企業中的應用及研
- 請停止Node.js在企業應用中爭鬥Node.js
- java 偽造http請求ip地址JavaHTTP
- 請問struts中如何實現分頁功能,有請大家踴躍討論
- ERP在企業中的應用(轉)
- 在製造業的工業2.0中應用MOM系統
- 明確MangoDB在企業中應用Go
- IPsec在企業網中的應用!(vpn)
- Ubuntu在企業應用中的地位幾何?Ubuntu
- 專案管理在企業中的應用(轉)專案管理
- 如何應對偽造的 SSL 證書?
- ERP在汽車製造行業中的應用(轉)行業
- 乾貨詳解|二維碼防偽溯源系統在白酒行業的應用行業
- 如何讓企業網站發揮出應用的功能?網站
- 超實用的企業防範資料洩露小技巧!
- 跨站請求偽造(CSRF)攻擊原理及預防手段
- 駭客眼中的“香餑餑”:API攻擊為啥盛行,企業應該如何防範?API
- api 介面欄位規範的問題,請教大家API
- 專案管理軟體在企業中的應用專案管理
- Docker在企業中的應用現狀報告Docker
- 請教大家一個JAVA的問題Java
- MRPII在製造業的應用(轉)
- 在單頁應用中,如何優雅的監聽url的變化
- 【智慧製造】MES在工業4.0標準下的規範和功能
- 解剖MES系統在製造企業中的作用
- erp在服裝企業中的應用與改善
- 如何快速開發Java RCP企業級應用?Java
- 包裝企業資訊化應用的典範(轉)
- 偽造工作經歷,請止步!!!
- CSRF - 跨站請求偽造
- 請教大家關於java效能的問題Java
- 製造業成網路安全重災區 如何防範成難題
- 健永科技淺談RFID技術在煙類防偽的應用
- 請問大家如何設計物件池?物件
- 請問大家如何進行提效?
- 六西格瑪在改善企業流程中的應用體現
- 儲存網路在企業應用中的安全隱患