大多数Web应用程序在使用户可以访问该功能之前验证功能级别访问权限.但是,如果未在服务器上执行相同的访问控制检查,则黑客无法在未经适当授权的情况下进入应用程序.
让我们了解威胁代理,攻击向量,安全弱点,这个缺陷的技术影响和业务影响借助于简单的图表.
以下是缺少功能级别访问控制的经典示例
黑客只是强制使用目标网址.通常管理员访问需要身份验证,但是,如果未验证应用程序访问权限,则未经身份验证的用户可以访问管理页面.
' Below URL might be accessible to an authenticated user http://website.com/app/standarduserpage ' A NON Admin user is able to access admin page without authorization. http://website.com/app/admin_page
步骤1 让我们首先浏览用户列表及其访问权限,以帐户管理员身份登录.
第2步在尝试各种组合后,我们可以发现Larry可以访问资源客户经理.
默认情况下,身份验证机制应拒绝所有访问,并提供对特定角色的访问权限对于每个功能.
在基于工作流的应用程序中,在允许用户访问任何资源之前验证用户的状态.
