2.5 访问控制漏洞 (Broken Access Control)

文档摘要

2.5 访问控制漏洞 (Broken Access Control) 2.5 访问控制漏洞 (Broken Access Control) 在Web应用程序中，访问控制是确保用户只能访问其被授权访问的资源和执行其被授权执行的操作的关键安全机制。当应用程序的访问控制实施不当或存在缺陷时，就会产生访问控制漏洞，也称为权限绕过或垂直/水平权限提升。这类漏洞是Web应用程序中最常见的漏洞之一，其影响可能非常严重，包括敏感数据泄露、未经授权的功能执行甚至系统完全失控。 2.5.1 什么是访问控制？访问控制（Access Control）是安全领域的一个核心概念，用于管理主体（如用户、进程）对客体（如文件、数据库记录、功能接口）的访问权限。