一、权限漏洞
访问控制是指用户对系统所有访问的权限控制,通常包含水平权限,和垂直权限。
水平越权:同一角色级别的用户之间所产生的问题,如A用户可以未授权访问B用户的数据;
垂直越权:不同角色级别的用户之间所产生的问题,如普通用户可未授权进行管理操作,未登录用户可以访问需授权应用。
二、常见场景
所有涉及到与用户相关数据的位置,如用户资料,地址,订单。
所有涉及到登录及权限控制的位置,如后台登录,当前用户权限校验。
三、防御
涉及到用户数据的操作,严格判断当前用户的身份
对于所有需要权限控制的位置,严格校验用户权限级别。