8.错误的访问控制
错误的访问控制( Failure to Restric【 URL Access),是指某些网页没有做好权限控制, 使得攻击者可透过网址直接访问。这种漏洞允许攻击者访问未经授权的功能。
通常,Web应用在显示受保护的页面之前会检查用户的访问权限,但是,当Web应用在给不同用户授予对各页丽的不同的访问权限,可能存在设置方面的问题,从而导致攻击者可以不需要权限直接访问。Web中的某些隐藏的、未正确设置权限的页面也可台邑被攻击者直接访问。