不安全的对象直接引用攻击
发布时间:2012-07-24   作者:

已授权用户,通过更改访问时的一个URL参数,从而访问到原本其并没有得到授权的对象。Web应用往往在生成Web页面时会用其真实名字,且并不会针对所有的访问检查用户权限,如:


攻击者发现自己的参数是6065,即?acct=6065


他可以直接更改参数为6066,即?acct=6066


这样他就可以直接看到6066用户的账户信息了 


不安全的对象直接引用在OWASP组织公布的TOP 10中危害程度第四

文章来源:
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号