Day 16
Day 16|Authorization 授權與權限檢查
昨日複習
Day 15|Authentication Bypass 身分驗證繞過
Attackers may access protected pages without logging in.
正確答案 C. Authentication Bypass
這句在描述:Authentication Bypass(身分驗證繞過)
看完整 Day 15 →今日句子
The application fails to check whether the authenticated user has permission to access the requested resource.
中文意思
應用程式沒有檢查已驗證的使用者是否有權限存取被請求的資源。
這句在說什麼資安問題
Broken Access Control / Authorization(存取控制失效/授權)
這句描述的是 Authorization(授權)層面的問題。使用者有登入(Authentication 通過),不代表他可以存取所有資料——系統還需要確認這筆資源是不是他有權限看的。Authentication 問「你是誰、你有沒有登入」,Authorization 則問「你有沒有權限做這件事」。
- 已登入的使用者直接修改 URL,存取了其他使用者的個人資料頁
- 一般使用者呼叫了只有管理員才能用的 API 端點
- 使用者 A 下載了使用者 B 的訂單附件
重點單字
| 英文 | 中文 |
|---|---|
| fails to check | 未能檢查 |
| authenticated user | 已驗證的使用者 |
| has permission | 有權限 |
| access | 存取 |
| requested resource | 被請求的資源 |
練習題
The user is logged in but can access another user's account settings.
💡 logged in but can access another user's account settings(已登入,卻能存取其他使用者帳號設定)描述的是 Authorization 失敗(Broken Access Control),而非 Authentication 問題——使用者身分已確認,但系統沒有正確限制他能存取哪些資源。