A01:2021 – 访问控制中断
概述
从第五位上升到第五位,94%的应用程序接受了某种形式的中断访问控制的测试,平均发生率为3.81%,并且在贡献的数据集中发生次数最多,超过318k。包括值得注意的常见弱点枚举(CWE-200:敏感信息暴露给未经授权的行为者,CWE-201:通过发送的数据暴露敏感信息, 和CWE-352:跨站点请求伪造。
描述
访问控制强制实施策略,以便用户不能在其预期权限之外执行操作。故障通常会导致未经授权的信息泄露、修改或破坏所有数据,或在用户限制之外执行业务功能。常见的访问控制漏洞包括:
-
默认情况下违反最小特权或拒绝原则,其中应仅向特定功能、角色或用户授予访问权限,但任何人都可以使用。
-
通过修改 URL(参数篡改或强制浏览)、内部应用程序状态或 HTML 页面,或者使用攻击工具修改 API 请求来绕过访问控制检查。
-
通过提供他人的唯一标识符(不安全的直接对象引用)来允许查看或编辑他人的帐户
-
访问缺少 POST、PUT 和 DELETE 访问控制的 API。
-
特权提升。在不登录的情况下充当用户,或在以用户身份登录时充当管理员。
-
元数据操作,例如重播或篡改 JSON Web 令牌 (JWT) 访问控