日本一本不卡视频,欧美日韩在线视频一区,91精品欧美综合在线观看

如果攻擊者嘗試修改刪除方法，將路徑中的用戶關(guān)鍵字更改為管理員，則攻擊者獲得管理員角色的訪問(wèn)權(quán)限，并可以執(zhí)行刪除操作。

使用 miniorange Xecure API 網(wǎng)關(guān)防止功能級(jí)別授權(quán) (BFLA) 損壞

由于服務(wù)器端缺乏 API 訪問(wèn)控制處理，攻擊成功。

BFLA 攻擊示例

假設(shè)有一個(gè)在線銀行應(yīng)用程序允許用戶在賬戶之間轉(zhuǎn)賬。該應(yīng)用程序具有不同的授權(quán)級(jí)別，普通用戶只能在自己的賬戶內(nèi)轉(zhuǎn)賬，而管理員可以在任何賬戶之間轉(zhuǎn)賬。在這種情況下，如果應(yīng)用程序在處理資金轉(zhuǎn)賬請(qǐng)求之前未能檢查用戶的角色或權(quán)限，則存在 BFLA 漏洞。例如，如果普通用戶試圖將資金從一個(gè)賬戶轉(zhuǎn)移到不屬于他們的另一個(gè)賬戶，應(yīng)用程序應(yīng)該拒絕該請(qǐng)求。然而，由于功能級(jí)別授權(quán)受損，應(yīng)用程序可能會(huì)忽略此檢查，從而允許未經(jīng)授權(quán)的交易繼續(xù)進(jìn)行。攻擊者可以通過(guò)操縱請(qǐng)求參數(shù)或使用代理工具攔截請(qǐng)求來(lái)利用此漏洞。通過(guò)將目標(biāo)帳號(hào)更改為另一個(gè)用戶的帳戶，他們可以誘騙應(yīng)用程序?qū)①Y金從受害者的帳戶轉(zhuǎn)移到自己的帳戶。

如何預(yù)防 BFLA 攻擊？

為了緩解 BFLA 漏洞，必須在每個(gè)功能或特性級(jí)別實(shí)施強(qiáng)大的授權(quán)檢查，確保用戶在嘗試執(zhí)行操作時(shí)得到正確的身份驗(yàn)證和授權(quán)。API 網(wǎng)關(guān)可以幫助實(shí)現(xiàn)這一點(diǎn)。

API 網(wǎng)關(guān)的以下功能有助于防止破壞功能級(jí)別授權(quán)攻擊：

集中授權(quán)：每個(gè)發(fā)往后端的請(qǐng)求都會(huì)經(jīng)過(guò) API 網(wǎng)關(guān)。我們可以在網(wǎng)關(guān)級(jí)別強(qiáng)制執(zhí)行授權(quán)邏輯或策略。因此，在所有 API 端點(diǎn)上，您都可以保證可靠且一致的執(zhí)行。
訪問(wèn)控制策略：在網(wǎng)關(guān)中，您可以定義不同的細(xì)粒度操作控制策略。用戶還可以定義基于角色的訪問(wèn)控制，以便每個(gè)角色對(duì)資源的訪問(wèn)權(quán)限有限，最終有助于防止未經(jīng)授權(quán)的訪問(wèn)。
速率限制：API 網(wǎng)關(guān)速率限制功能允許同時(shí)來(lái)自客戶端的有限數(shù)量的請(qǐng)求，從而防止過(guò)度使用該功能并協(xié)助分析 API 調(diào)用中的奇怪模式。

文章來(lái)源：The Risks of Broken Function Level Authorization(BFLA) and How to Mitigate Them with an API Gateway