8.錯誤的訪問控制

錯誤的訪問控制( Failure to Restric【 URL Access)，是指某些網(wǎng)頁沒有做好權(quán)限控制， 使得攻擊者可透過網(wǎng)址直接訪問。這種漏洞允許攻擊者訪問未經(jīng)授權(quán)的功能。

通常，Web應(yīng)用在顯示受保護(hù)的頁面之前會檢查用戶的訪問權(quán)限，但是，當(dāng)Web應(yīng)用在給不同用戶授予對各頁麗的不同的訪問權(quán)限，可能存在設(shè)置方面的問題，從而導(dǎo)致攻擊者可以不需要權(quán)限直接訪問。Web中的某些隱藏的、未正確設(shè)置權(quán)限的頁面也可臺邑被攻擊者直接訪問。