我最近开发了一个金融应用程序,并进行了安全漏洞测试。
测试中发现了一个问题:通过不安全的直接对象引用实现帐户劫持。以下是提供的注释: 在安全评估过程中,发现安卓应用程序中存在不安全的授权控制,允许攻击者代表不同的用户发出请求。这使得攻击者可以接管任何用户的帐户。 该应用程序完全缺乏授权控制,这使得攻击者可以代表任何用户发出请求。
提供的解决方法是: 为防止此类问题,请确保将用户的访问权限限制在正确的特权级别上,而不仅仅是通过应用程序界面中可用的页面来限制。
这是否意味着使用基于角色的系统?我的应用程序不需要多个用户角色。只有一个名为“终端用户”的单一角色将使用该应用程序。
可以有人提供更深入的见解吗?
测试中发现了一个问题:通过不安全的直接对象引用实现帐户劫持。以下是提供的注释: 在安全评估过程中,发现安卓应用程序中存在不安全的授权控制,允许攻击者代表不同的用户发出请求。这使得攻击者可以接管任何用户的帐户。 该应用程序完全缺乏授权控制,这使得攻击者可以代表任何用户发出请求。
提供的解决方法是: 为防止此类问题,请确保将用户的访问权限限制在正确的特权级别上,而不仅仅是通过应用程序界面中可用的页面来限制。
这是否意味着使用基于角色的系统?我的应用程序不需要多个用户角色。只有一个名为“终端用户”的单一角色将使用该应用程序。
可以有人提供更深入的见解吗?