Broken Access Control,OWASP Top 10 2021的榜首,
指的是Server端對資料權限的控管失當,導致用戶可以執行其權限理應不可進行的操作。
而其中又可分為
垂直提權(Vertical Privilege Escalation):獲得比使用者更高層級的權限
水平提權(Horizontal Privilege Escalation):獲得其他使用者的權限
避免的方式是做好權限控管,若因業務需要開放權限,則要避免使用可預測的數值或字串作為參數
一樣拿hitcon的例子
https://zeroday.hitcon.org/vulnerability/ZD-2024-00598
該案例是透過修改url的方式可以存取非本人的資料,就是使用參數的規則容易被破解,容易被有心人士利用
iThome鐵人賽
看影片追技術