一、越权访问. 越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。 1.1越权访问的产生. 比如,某个订单系统,用户可以查询自己的订单信息。A用户查询订单时,发送的HTTP请求中包含参数“orderid=A”,订单系统取得orderid后最终会查询数据库,查询语句类似于“select * fromtablename where orderid = A”。B用户查询订单时,发送的HTTP请求中包含参数“orderid=B”,系统查询数据库语句类似于“select *….



Source link

You must be logged in to post a comment.