Insufficient Authorization (Неполное ограничение доступа)

Неполное ограничение доступа (Insufficient Authorization) происходит, когда веб-сайт разрешает доступ к важному содержанию или функциональности, к которым требуется ограничение доступа. Когда пользователь авторизуется на веб-сайте, это совершенно не означает, что он должен получить полный доступ ко всем материалам и функциональности, без особых на это оснований.

Процедура авторизации (определение прав) выполняется после аутентификации (проверки подлинности пользователя), четко определяя, что пользователю, сервису или приложению разрешается делать. Спецификой работы веб-сайта должно управлять внимательное отношение к ограничениям, четко согласованное с политикой веб-сайта. Важные области веб-сайта требуют ограничения доступа от всех желающих, и возможно даже от администраторов.

Пример

В прошлом, многие веб-сайты хранили административное наполнение и/или функциональность в скрытых каталогах, таких как /admin или /logs. Если злоумышленник делал прямой запрос к этим каталогам, то получал к ним полноценный доступ. Он мог, таким образом, перенастроить веб-сервер, получить важную информацию или скомпрометировать веб-сайт.

Оставить комментарий

Можно использовать теги: <a href="" rel="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>