Неполное ограничение доступа (Insufficient Authorization) происходит, когда веб-сайт разрешает доступ к важному содержанию или функциональности, к которым требуется ограничение доступа. Когда пользователь авторизуется на веб-сайте, это совершенно не означает, что он должен получить полный доступ ко всем материалам и функциональности, без особых на это оснований.
Процедура авторизации (определение прав) выполняется после аутентификации (проверки подлинности пользователя), четко определяя, что пользователю, сервису или приложению разрешается делать. Спецификой работы веб-сайта должно управлять внимательное отношение к ограничениям, четко согласованное с политикой веб-сайта. Важные области веб-сайта требуют ограничения доступа от всех желающих, и возможно даже от администраторов.
Пример
В прошлом, многие веб-сайты хранили административное наполнение и/или функциональность в скрытых каталогах, таких как /admin или /logs. Если злоумышленник делал прямой запрос к этим каталогам, то получал к ним полноценный доступ. Он мог, таким образом, перенастроить веб-сервер, получить важную информацию или скомпрометировать веб-сайт.
Нет комментариев