“三员系统”中常见的越权问题

Author:Source May 29, 2020

一、越权访问. 越权访问（Broken Access Control，简称BAC）是Web应用程序中一种常见的漏洞，由于其存在范围广、危害大，被OWASP列为Web应用十大安全隐患的第二名。 1.1越权访问的产生. 比如，某个订单系统，用户可以查询自己的订单信息。A用户查询订单时，发送的HTTP请求中包含参数“orderid=A”，订单系统取得orderid后最终会查询数据库，查询语句类似于“select * fromtablename where orderid = A”。B用户查询订单时，发送的HTTP请求中包含参数“orderid=B”，系统查询数据库语句类似于“select *….

Source link

 Category Applications

Multiple Severe Vulnerabilities in Microsoft Exchange Server

Source

March 3, 2021

Summary. Multiple vulnerabilities have been discovered in Microsoft Exchange Server (on premises version), the most...

 Category Applications

ASRC 2020 年郵件安全趨勢回顧 | iThome

Source

March 2, 2021

2020年幾乎全年都受到Covid-19疫情影響。疫情的出現改變了全球數位工作模式，為了降低疫情對工作人力的衝擊，遠距工作或在家學習成了重要選項，很可能也將成為今後的常態。遠距工作挑戰了傳統的資安部署觀念，遠端存取不再有「可信任的區塊或空間場域」，因此，所有服務的存取都需要驗證迫使了零信任的架構要提早被實現。遠距工作也推動了雲端應用的加速，雲端服務商算是疫情下少數的受惠者；但雲端服務設定不當造成資料大批洩漏的情況，算是容易被忽視的資安弱點。此外，不論是安全人員或是攻擊者，面對遠距工作直覺可聯想到的資安問題，就是 VPN 連線的安全性保護及 DDoS 攻擊或任何可能阻斷服務取得的手段，這類攻擊在 2020 年算是最容易被觀察到的事件了。 2020 年郵件安全有哪些明顯的趨勢？以下為ASRC 研究中心與中華數位科技的觀察摘要：詐騙郵件受到疫情的影響，在郵件安全方面防疫物資的詐騙經常出現。這些防疫物資的銷售廣告來自不明的公司與新註冊的域名，且出現的頻率與疫情的嚴重程度、防疫物資的匱乏程度有關係。2020 年的第一季與第二季較常看到此類詐騙；第四季後就相對少了許多。除了與疫情有關的詐騙郵件外，還有內容以恫嚇收件人電腦遭到入侵與監控的比特幣詐騙郵件。詐騙的內容其實是杜撰的，但這樣的詐騙郵件內容依發送的地區與國別，融合了多國的在地化語言，以提高詐騙成功的機率。...

 Category Applications

Red Hat Security Advisory 2021-0663-01 – KK Hack Labs

Source

March 1, 2021

Red Hat Security Advisory 2021-0663-01 – Ansible is a simple model-driven configuration management, multi-node deployment,...

 Category Applications

Fedora 33: chromium 2021-aa764a8531>

Source

February 28, 2021

Update to 88.0.4324.182. Fixes CVE-2021-21149 CVE-2021-21150 CVE-2021-21151 CVE-2021-21152 CVE-2021-21153 CVE-2021-21154 CVE-2021-21155 CVE-2021-21156 CVE-2021-21157 ——————————————————————————– Fedora...