学术论文分享——使用访问控制模式目录查找Web应用程序中的安全缺陷
今天分享一篇关于查找Web应用程序中的访问控制安全缺陷的论文——“FindingSecurityBugsinWebApplicationsusingaCatalogofAccessControlPatterns”。
1.什么是访问控制
访问控制就是通过某种途径准许或者限制访问能力,从而控制对关键资源的访问,防止非法用户的侵入或者合法用户的不慎操作所造成的破坏。访问控制技术作为一种安全手段,无论是在计算机安全发展的初期还是在网络发达的现今,作为一种重要的计算机安全防护技术,都得到广泛应用。
1.1访问控制基本概念:
(1)主体:主体是访问操作中的主动实体,包括所有能够发起访问操作的实体,如人、进程、设备等。主体是访问的发起者,并造成了信息的流动或者系统状态的改变。
(2)客体:客体是访问操作中的被动实体,是包含信息或接受信息的被动接受访问的资源,如文件、设备、信号量、网络节点等。
(3)动作:动作是信息在主体和客体之间流动的交互方式,有的文献称为“访问模式”。常见的动作主要包括读、写、读/写和执行等。
(4)权限(访问权限):是否允许主体(s)对客体(o)执行某种动作(a),如果主体可以访问,则为允许(pass);否则为禁止(deny)。
(5)策略(访问策略、访问控制策略):是主体对客体的访问规则集,这个规则集直接定义了主体对客体的动作行为和客体对主体的条件约束。
(6)标识:在一定范围内唯一表示一个实体身份的符号。在访问控制中主要使用的标识可以分为主体标识、客体标识、动作标识、属性标识等。
(7)授权:授权是指将访问权限授予一个主体的行为。
(8)访问控制:指在鉴别用户的合法身份后,通过某种途径显式地准许或限制用户对数据信息的访问能力及范围,阻止未经授权的资源访问,包括阻止以未经授权的方式使用资源。当主体提出资源访问请求时,系统必须先要确认是合法的主体,而不是假冒的欺骗者,也就是对主体进行鉴别(也称认证)的过程。主体通过鉴别以后,就会获得一个主体标识用来区别其身份,此时系统才能根据预设的访问控制策略来判定主体是否拥有权限对客体执行访问动作。该定义说明,授权管理过程往往发生在访问控制之前,前者是后者的执行依据。
1.2访问控制模型:
(1)自主访问控制
(2)强制访问控制
(3)基于角色的访问控制
1.3基于角色的访问控制(Role-BasedAccessControl):
RBAC认为权限授权的过程可以抽象地概括为:Who是否可以对What进行How的访问操作,并对这个逻辑表达式进行判断是否为True的求解过程,即将权限问题转换为What、How的问题,Who、What、How构成了访问权限三元组。在RBAC模型里面,有3个基础组成部分,分别是:用户、角色和权限。RBAC通过定义角色的权限,并对用户授予某个角色从而来控制用户的权限,实现了用户和权限的逻辑分离,极大地方便了权限的管理。
User(用户):每个用户都有唯一的UID识别,并被授予不同的角色
Role(角色):不同角色具有不同的权限
Permission(权限):访问权限
用户-角色映射:用户和角色之间的映射关系
角色-权限映射:角色和权限之间的映射
2.技术的提出
Web应用程序安全漏洞代表了一大类不断增长的漏洞。编程框架和静态分析工具已经开始解决违反通用、跨应用程序规范的错误(例如,注入、跨站点脚本和溢出漏洞)。然而,特定于应用程序的错误(如缺少安全检查)受到的