未对通过身份验证的用户实施恰当的访问控制,攻击者可以利用这些缺陷访问未经授权的功能或数据。
技术影响是攻击者可以冒充用户、管理员或拥有特权的用户,或者创建、访问、更新或删除任何记录。业务影响取决于应用程序和数据的保护需求。
越权:
横向越权、纵向越权
文件操作:
文件上传、文件包含、任意文件下载、任意文件删除
1、加强引用参数的封装、加密
2、利用安全标签,采用强访问控制模型(MAC)