应用系统中权限管理的隐患
作者:***
来源:《硅谷》2012年第04期
        摘 要: 权限管理在一个应用管理系统中是不可或缺的重要组成部分,权限控制可以实现不同身份登录验证后所拥有资源的不同,一旦用户权限分配或管理不适当,必将给系统带来潜在的威胁,甚至造成不可预计的损失。
        关键词: 权限分配;用户管理;系统安全
        中图分类号:TP311.10 文献标识码:A 文章编号:1671-7597(2012)0220195-01
        0 前言
        权限管理在一个应用管理系统中起着非常重要的作用,但是在程序开发时,由于一些程序员的疏忽或为了赶工程进度,在设计权限管理模块时往往会对一些细节不关心,造成权限管理中的重大安全危机。
        1 权限管理中的常见问题
        1.1 用户管理中密码以明文显示
        在一个应用系统中,普遍采用用户与密码相匹配进行身份认证,确认使用者的合法性,保证系统安全。但是,在一些小型系统或单机版应用系统中,往往为了简化开发与管理,把用户信息特别是用户密码等敏感信息进行明文管理,使得系统处理危险状态下。
        缺陷分析:这种缺陷常见于一些小型应用系统,导致原因可能是:① 系统设计人员为了方便使用者管理用户信息;② 系统设计人员认为小系统使用的人员有限,没有必要对这些敏感数据进行加密。
        解决措施:用户密码属于个人隐私,不应该公开,用户在登录系统后可以自行更改。但在使用过程中,有些用户会遗忘自己更改过的密码,这时就需要通知系统管理员进行处理。通常密码在数据库或用户管理界面中均要求显示为密文,而且最好是不可逆加密(如MD5),系统管理员只能重置用户密码,即初始化用户密码,而不能修改用户密码,确保用户身份的真实性。
aspnet和net的区别
        1.2 用户管理中角下拉列表可编辑
        在基于角访问控制的模型中,所用户权限按角进行统一设置,极大减化了授权管理的复杂性,保证了系统安全的灵活性。如果用户角设置不当,也将具有极大的破坏性,会造成系统的越权使用。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。