A5:2017 失效的訪問控制

漏洞描述：

未對通過身份驗證的用戶實施恰當的訪問控制，攻擊者可以利用這些缺陷訪問未經授權的功能或數據。

技術影響是攻擊者可以冒充用戶、管理員或擁有特權的用戶，或者創建、訪問、更新或刪除任何記錄。業務影響取決於應用程序和數據的保護需求。

越權：

　　橫向越權、縱向越權

文件操作：

　　文件上傳、文件包含、任意文件下載、任意文件刪除

1、加強引用參數的封裝、加密

2、利用安全標簽，采用強訪問控制模型（MAC）

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 OWASP top 10 （2017）學習筆記--敏感信息泄露 OWASP top 10 （2017）學習筆記--安全錯誤配置 OWASP TOP 10 詳解 OWASP TOP 10簡單介紹 Jenkins學習七：Jenkins的授權和訪問控制 OWASP TOP10 Web應用十大安全風險_2017 對於OWASP API TOP 10的一些理解網絡滲透之OWASP TOP10 windows訪問控制 MongoDB學習（配置用戶賬戶和訪問控制）