Web安全防护技术之错误的访问控制

8.错误的访问控制

错误的访问控制( Failure to Restric【 URL Access)，是指某些网页没有做好权限控制， 使得攻击者可透过网址直接访问。这种漏洞允许攻击者访问未经授权的功能。

通常，Web应用在显示受保护的页面之前会检查用户的访问权限，但是，当Web应用在给不同用户授予对各页丽的不同的访问权限，可能存在设置方面的问题，从而导致攻击者可以不需要权限直接访问。Web中的某些隐藏的、未正确设置权限的页面也可台邑被攻击者直接访问。