حملات عدم کنترل سطح دسترسی مناسب برای تابع
حملات عدم کنترل سطح دسترسی مناسب برای تابع بهعنوان یکی از ده آسیبپذیری شناختهشده معروف در سطح وبسایتها است.
اعطای مجوزها و حق دسترسیها در برنامههای کاربردی وب باید بر اساس استاندارد و فرآیندهای اجرایی امن سازی باشد.
در مبحث عدم کنترل دسترسیها دو مبحث بسیار مهم Authentication و Authorization مطرح است.
اصل حملات کنترل سطح دسترسی به مبحث اعطای مجوزها یعنی Authorization برمیگردد.
هک شدن سایت با استفاده از این نوع حملات باعث افزایش سطح دسترسی هکر خواهد شد.
بررسی و کنترل توابعی که حقوق دسترسی در وبسایت را برای کاربران مشخص میکند، باید توسط برنامهنویس انجام شود.
تعیین خطی مشی و Policy برای کنترل دسترسیها، باید بهعنوان اولین گام در امن سازی وبسایتها در نظر گرفته شود.
در وبسایتها باید دسترسیها به کلیه توابع بهصورت پیشفرض بسته شود و در صورت نیاز به کاربران خاص اعطا شود.
از لیستهای کنترل دسترسی برای تائید کردن یا Verify درخواستها استفاده شود.
