又一个安全补丁,又一次错失的机会。
💡
原文英文,约700词,阅读约需3分钟。
📝
内容提要
许多系统在未验证用户身份前就能操作,存在设计缺陷。Fortinet的漏洞提醒我们,系统应在用户认证后才能授予访问权限,需从“访问控制”转向“权限控制”,以提高安全性。
🎯
关键要点
- 许多系统在用户身份未验证前就能操作,存在设计缺陷。
- Fortinet的漏洞提醒我们,系统应在用户认证后才能授予访问权限。
- 当前系统设计存在根本性矛盾,未验证用户身份就能做出访问决策。
- 单一漏洞可能导致攻击者获得敏感数据的访问权限。
- 每年都有类似的漏洞被曝光,表明问题并非个别事件。
- 设计方法破坏了零信任和最小权限的基本安全原则。
- 建议将系统设计为在用户成功认证后才获得访问权限。
- 需要从“访问控制”转向“权限控制”,以提高安全性。
➡️
