為了避免自己撰寫出具有安全風險的程式碼而仍不自知,就挑上這堂 從 OWASP Top 10 實現全方位防禦強化 課程。這邊筆記下跟存取權控制相關的內容。
課程相關資訊
[連結]:https://hiskio.com/courses/1539/lectures/146879
本篇範圍:Chapter 2
請注意:本系列文章為個人對應課程的消化吸收後,所整理出來的內容。換言之,並不一定會包含全部的課程內容,也有可能會添加其他資源來說明。
內容
1. 登入後,可以存取他人的權限,或是修改其他使用者的資料、權限和存取 -> 多數為邏輯錯誤
2. 直接拿使用者請求的值,未經驗證(比對)就將其拿來使用,是會有問題的。一般而言,需將系統端的值和使用者所傳來的值進行檢查