失效的访问控制漏洞 一、漏洞简介 失效的访问控制漏洞是指未对通过身份验证的用户实施正确的访问控制管理,攻击者通过此漏洞访问未授权的功能或者数据 二、漏洞分类 1、水平越权 2、垂直越权 三、漏洞危害 敏感信息泄露、数据篡改、越权操作 四、修改建议 1、使用安全的鉴权机制,强制所以请求进行访问控制检查 2、默认拒绝,出现异常特权,拒绝访问 3、最小权限原则,对于用户权限的划分给与尽可能小