题目内容
(请给出正确答案)
[多选题]
下列哪些属于越权漏洞的特点()
A.可查看其他用户的敏感信息
B.不会被防火墙发现
C.容易被防火墙发现
D.可修改其他用户的敏感信息
答案
查看答案
A.可查看其他用户的敏感信息
B.不会被防火墙发现
C.容易被防火墙发现
D.可修改其他用户的敏感信息
第1题
A.基础安全架构,完善用户权限体系,要知道哪些数据对应哪些用户,哪些数据不应该由哪些用户操作
B.鉴权、服务端对请求的数据和当前用户身份做校验
C.不要直接使用对象的实名或关键字
D.对于可控参数进行严格的检查与过滤
第2题
B、对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作,以防止URL越权
C、登录过程中,往服务器端传递用户名和口令时,必须采用HTTPS安全协议也就是带服务器端证书的SSL,只提供本机接入、登录,做设备管理使用的场景暂时不要求
D、使用主流Web安全扫描工具扫描Web服务器和Web应用,不存在“高”级别的漏洞
第8题
A.越权漏洞分为水平越权和垂直越权
B.不需要登录即可访问到人员信息管理接口属于未授权漏洞
C.将用户信息如userid进行base64编码后放在Cookie中,后台从中获取身份信息
D.访问url时,先判断是否已做身份鉴别,再判断用户是否有该页面的访问操作权限