8.錯(cuò)誤的訪問(wèn)控制

錯(cuò)誤的訪問(wèn)控制( Failure to Restric【 URL Access)，是指某些網(wǎng)頁(yè)沒有做好權(quán)限控制， 使得攻擊者可透過(guò)網(wǎng)址直接訪問(wèn)。這種漏洞允許攻擊者訪問(wèn)未經(jīng)授權(quán)的功能。

通常，Web應(yīng)用在顯示受保護(hù)的頁(yè)面之前會(huì)檢查用戶的訪問(wèn)權(quán)限，但是，當(dāng)Web應(yīng)用在給不同用戶授予對(duì)各頁(yè)麗的不同的訪問(wèn)權(quán)限，可能存在設(shè)置方面的問(wèn)題，從而導(dǎo)致攻擊者可以不需要權(quán)限直接訪問(wèn)。Web中的某些隱藏的、未正確設(shè)置權(quán)限的頁(yè)面也可臺(tái)邑被攻擊者直接訪問(wèn)。