A5:2017 失效的访问控制

漏洞描述：

未对通过身份验证的用户实施恰当的访问控制，攻击者可以利用这些缺陷访问未经授权的功能或数据。

技术影响是攻击者可以冒充用户、管理员或拥有特权的用户，或者创建、访问、更新或删除任何记录。业务影响取决于应用程序和数据的保护需求。

越权：

　　横向越权、纵向越权

文件操作：

　　文件上传、文件包含、任意文件下载、任意文件删除

1、加强引用参数的封装、加密

2、利用安全标签，采用强访问控制模型（MAC）

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 OWASP top 10 （2017）学习笔记--敏感信息泄露 OWASP top 10 （2017）学习笔记--安全错误配置 OWASP TOP 10 详解 OWASP TOP 10简单介绍 Jenkins学习七：Jenkins的授权和访问控制 OWASP TOP10 Web应用十大安全风险_2017 对于OWASP API TOP 10的一些理解网络渗透之OWASP TOP10 windows访问控制 MongoDB学习（配置用户账户和访问控制）