Appearance
存取控制 Access Control
什麼是存取控制?
存取控制是一種限制機制,用於管理誰或什麼被授權執行動作或存取資源。在網頁應用程式的情境中,存取控制取決於身分驗證和工作階段管理:
- 身分驗證確認使用者就是他們所宣稱的身分。
- 工作階段管理識別後續的 HTTP 請求是由同一位使用者發出的。
- 存取控制決定使用者是否被允許執行他們正在嘗試的操作。
存取控制的缺陷很常見,而且通常會導致嚴重的安全漏洞。存取控制的設計和管理是一個複雜且動態的問題,需要在技術實作上考慮業務、組織和法律的限制。存取控制的設計決策必須由人來制定,因此出錯的可能性很高。
存取控制失效 Broken Access Control
這是 OWASP 於 2021 年公告的「網站安全漏洞排行」的第一名!
垂直權限提升
如果使用者可以存取他們原本不被允許存取的功能,這就是垂直權限提升。例如,如果一個非管理員使用者可以進入管理員頁面,在那裡刪除其他使用者的帳號,這就是垂直權限提升。
水平權限提升
如果使用者能夠存取屬於其他使用者的資源,而不是他們自己的同類型資源,就會發生水平權限提升。例如,如果一個員工可以存取其他員工的記錄以及他們自己的記錄,這就是水平權限提升。